暴力破解&暴力破解漏洞概述

暴力破解

字典

一个有效的字典,可以大大的提高暴力破解的效率

• 常用的账号密码(弱口令),比如常用用户名/密码TOP500等
• 互联网上被脱裤后账号密码(社工库),比如CSDN当年泄漏的约600w用户信息。
• 使用指定的字符使用工具按照指定的规则进行排列组合算法生成的密码。

如果一个网站没有对登录接口实施防暴力破解的措施,或者实施了不合理的措施。则该称该网站存在暴力破解漏

暴力破解漏洞测试流程

1. 确认登录接口的脆弱
   确认目标是否存在暴力破解的漏洞。(确认被暴力破解的“可能性”)
   比如:尝试登录—抓包-观察验证元素和 response信息,判断否存在被暴力破解的可能。
2. 对字典进行优化
   根据实际的情况对字典进行优化,提高爆破过程的效率。
3. 工具自动化操作
   python或 burpsuite
   配置自动化工具(比如线程、超时时间、重试次数等),进行自动化操作。

技巧

基于表单的暴力破解(基于 burp suite)

burpsuite的文档

burp suite proxy的原理

proxy模块

burpsuite充当浏览器和web站点之间的代理,可以对HTTP请求进行修改

intruder模块

Intruder模块可以通过刈http request的数据包以变量的方式自定义参数,然后根据对应策略进行自动化的重放。常用于自动化猜测/暴力破解过程中

Sniper:狙击手

设置一个 payload,,先将第一个变量使用字典进行测试,然后在将第二个变量使用字典进行测试

Battering ram冲撞车

设置一个 payload,所有的变量一起用字典内容被替换,然后一起尝试

Ptichfork:草叉型

每个变量设置一个 payload,分别使用对应的字典对变量进行同时替换

Cluster bomb:集束炸弹

需要为每个变量设置一个 payload,分别使用字典内容组合对变量进行替换

Payloads选项卡

暴力破解之不安全的验证码分析

验证码的作用

验证码的认证流程

on-client

前端可能出现的问题

• 使用前端js实现验证码(纸老虎)
• 将验证码在 cookie中泄露,容易被获取;
• 将验证码在前端源代码中泄露,容易被获取

在前端使用js设置的安全机制是可以被绕过的,比如在前端进行验证码的生成和验证,就很容易绕过形同虚设

on-server

验证码后端处理可能存在的问题

• 验证码在后台不过期,导致可以长期被使用
• 验证码校验不严格,逻辑出现问题;
• 验证码设计的太过简单和有规律,容易被猜解 可以使用机器视觉的方式来
  识别

一般后台将验证码字符串存储在会话中,当验证一次验证码,应该立即销毁这个变量

Token可以防暴力破解吗?

一般的做法

暴力破解常见的防范措施

设计安全的验证码(安全的流程+复杂而又可用的图形)

• 对认证错误的提交进行计数并给出限制,比如连续5次密码错误,锁定2小时
• 必要的情况下,使用双因素认证