暴力破解原理及实验

暴力破解原理

根据我国网络安全交流学习。

暴力破解产生的原因是由于服务器端没有做限制,导致攻击者可以暴力破解的破解所需要的暴力破解原理及实验
比如:当你的姓名,生日,电话号等信息泄露,恶意用户会使用字典生成器,然后列出很多可能格式的密码。通过暴力破解穷尽所有结果。

暴力破解原理及实验

暴力破解实验

实验工具:火狐浏览器,burp suite,DVWA
实验目的:通过暴力破方式破解密码,熟悉暴力破解过程

实验过程

1、在火狐浏览器,打开DVWA平台,选择暴力破解模块;
随便输入用户名和密码,打开本地代理工具,选择登录
暴力破解原理及实验
2、打开burpsuite抓包工具,抓取修改密码数据包,并将数据包放入burp suite爆破模块,如下:
暴力破解原理及实验
3、选择攻击类型为cluster bomb,我们将要暴力破解的地方加上美元符号“$”因为他本身就带有美元符号,所以可以先清除全部的美元符号在你需要加的地方加上美元符号。
暴力破解原理及实验
4、我们需要爆破的第一个模块是用户名,点击LOAD上传,事先准备好的字典文本.txt文件。然后选择下拉框选择2,同理上传密码字典。
暴力破解原理及实验
5、点击start attract开始爆破,这样我的两个字典就会产生映射,枚举出所有的结果,只要字典足够强大,成功只是时间问题;
暴力破解原理及实验
6、等一段时间,破解结果为:账号admin,密码666666,然后我们尝试登录,验证结果;登录成功
暴力破解原理及实验

源码分析

服务器接受了GET参数,账号和密码参数;然后再数据库查询账号密码是否正确,若正确则登陆成功,这里没有设置登陆限制次数,只要用户一直尝试登录,就可以暴力破解。
暴力破解原理及实验

暴力破解的防护

1、网站开发人员尽量有动态验证
3、限制登录次数阈值,超过限制登录
4、同一IP多次登录,锁定此IP地址
2、轻易不要泄露自己的个人信息

版权声明:玥玥 发表于 2021-04-23 6:57:09。
转载请注明:暴力破解原理及实验 | 女黑客导航