暴力破解:是壹攻擊具手段,在web攻擊中,壹般會使用這種手段對應用系統的認證信息進行獲取。 其過程就是使用大量的認證信息在認證接口進行嘗試登錄,直到得到正確的結果。為了提高效率,暴力破解壹般會使用帶有字典的工具來進行自動化操作
暴力破解漏洞:如果壹個web應用系統沒有采用或者采用了比較弱的認證安全策略,導致其被暴力破解的“可能性”變的比較高
暴力破解前準備 :
1.?web系統的認證安全策略:
是否要求用戶設置復雜的密碼;
是否每次認證都使用安全的驗證碼
是否對嘗試登錄的行為進行判斷和限制(如:連續5次錯誤登錄,進行賬號鎖定或IP地址鎖定等)
是否采用了雙因素認證
認證過程是否帶有token信息
2.工具準備:準備合適的暴力破解工具以及壹個有郊的字典
三個要點:
1. 對目標網站進行註冊,搞清楚帳號密碼的壹些限制,比如目標站點要求密碼必須是8位以上,字母數字組合,則可以按照此優化字典,比如去掉不符合要求的密碼
2. web管理面密碼使用admin/administrator/root帳號的機率較高,可以使用這三個帳號+隨便壹個密碼字典進行暴力破解
3.?破解過程中壹定要註意觀察提示,如有“用戶名或密碼錯誤”“密碼錯誤”“用戶名不存在”等相關提示,可進壹步利用
暴力破解分類 :
B/S模式:瀏覽器服務器模式的認證過程是http協議實現的,因此可以用burpsuite抓包工具來破解
1. 不帶驗證碼的認證的破解:可直接使用burpsuite加密碼字典破解
2. 帶驗證碼的認證的破解:如果是前端驗證可使用burpsuite抓包繞過驗證碼來暴力破解,如果是後端驗證,可使用爆破工具(如pkav)外接驗證碼識別器來暴力破解。(如果後臺驗證過程中驗證碼沒有立即銷毀,此驗證碼可使用24分鐘)
3. 帶token信息的認證的破解:(Token是服務端生成的壹串字符串,以作客戶端進行請求的壹個令牌,客戶端帶上token代表具有執行某些操作的權利)token信息每次都不壹樣,需要burpsuite將服務器返回的token取出用於下壹次請求。
C/S模式:客戶端服務器模式的認證過程有多種協議實現的,因此需要用專用的集成化破解工具來破解,例如 Hydra、Bruter、X-scan
工具:
Bruter:密碼暴力破解工具
Hydra:hydra是著名黑客組織thc的壹款開源的暴力密碼破解工具,支持多種協議,可以在線破解多種應用密碼。
暴力破解的防範 :增加web系統的認證安全策略
要求用戶設置復雜的密碼
每次認證都使用安全的驗證碼
對嘗試登錄的行為進行判斷和限制
采用雙因素認證
認證過程帶token信息
驗證碼安全 :
是壹種區分用戶是計算機還是人的全自動程序,可以防止:密碼暴力破解、刷票、論壇灌水。可有效防護黑客對特定用戶的密碼暴力破解。
驗證碼分類 :
Gif動畫驗證碼
手機短信驗證碼
手機語音驗證碼
視頻驗證碼
驗證碼常見安全問題 :
客戶端問題
服務端問題
基於Token驗證
驗證碼太簡單,容易被機器識別
暴破驗證碼
驗證碼安全防護 :
1) 強制要求輸入驗證碼,否則,必須實施IP策略。 註意不要被X-Forwaded-For繞過了!
2) 驗證碼只能用壹次,用完立即過期!不能再次使用
3) 驗證碼不要太弱。扭曲、變形、幹擾線條、幹擾背景色、變換字體等。
4) 大網站最好統壹安全驗證碼,各處使用同壹個驗證碼接口
思路點:暴力破解和驗證碼安全破解時也可以熟悉認證業務過程,並試圖在業務過程中尋找業務邏輯漏洞。
弱口令:屬於暴力破解漏洞的壹種,是web認證界面使用了常用的或者較簡單的用戶名密碼,使暴力破解變得簡單。