暴力破解分类

一、C/S

Bruter、hydra等

二、B/S(B:browser浏览器   S:Server服务端)

主要针对Web站点

1、基于表单的暴力破解

2、基于验证码暴力破解

①:on client常见问题:不安全的前端js实现验证码;不安全的将验证码在cookie中泄露;不安全的将验证码在前端源代码中泄露

 

 

 

 

②:on server常见问题:验证码在后台不过期,导致长期使用(php默认session是24分钟过期);验证码校验不严格,逻辑出现问题;验证码设计的太过简单和有规律的被猜解(和客户端不一样的地方在于,24分钟之内,去客户端接着爆破,不输入验证码也还是可以爆破出来正确密码的,原因就是php默认session24分钟内是有效的)

 

 

③:弱验证码识别攻击

3、基于Token破解

由于token值输出在前端源代码中,容易被获取,因此也就失去了防暴力破解的意义,一般Token在防止CSRF上会有比较好的功效。

 

 

 

 

 

 

 

 

 

 

posted @ 2021-01-13 17:46  兰博~~  阅读(434)  评论(0编辑  收藏  举报