當前位置:名人名言大全網 - 端午節短信 - 爆破(登錄驗證)

爆破(登錄驗證)

1.首先配置Firefox和burpsuite,打開爆破頁面,輸入隨機賬號和密碼進行抓取。Burpsuite收到請求:

2.將請求參數的帳號和密碼部分設置為有效負載位置。如下所示:

3.在D盤下放兩個txt字典,壹個是user.txt,壹個是passwd.txt,然後內容如下:

4.Set Import:第二個字段也是如此。

5.按如下方式設置標誌:(因為用戶名和/或密碼不正確。),字符被設置為不正確。

1,驗證碼在前面:

壹般來說,驗證碼會放在用戶登錄頁面,防止攻擊者自動腳本攻擊。但是如果驗證碼判斷的邏輯在前端JS,那麽這個也可以繞過。因為如果請求被burpsuite捕獲,偽造後重新發布,那麽驗證碼就沒有任何作用了。

2.後端驗證碼:可能有驗證碼錯誤,但是用戶名和密碼是正確的,所以妳登錄了,所以這個邏輯也是有問題的。

3.使用令牌進行身份驗證:如果令牌未經身份驗證就直接返回給前端用戶,例如,在

1.設置密碼用戶名的限制,如長度必須超過8位,字母和特殊字符以及數字的組合等。

2,必須要有驗證碼,但是驗證碼要寫在後臺,邏輯要正確,不能猜。

3、壹定要有錯誤限制,比如連續5次登錄密碼錯誤,賬號要鎖定5分鐘。