暴力破解分类
一、C/S
Bruter、hydra等
二、B/S(B:browser浏览器 S:Server服务端)
主要针对Web站点
1、基于表单的暴力破解
2、基于验证码暴力破解
①:on client常见问题:不安全的前端js实现验证码;不安全的将验证码在cookie中泄露;不安全的将验证码在前端源代码中泄露
②:on server常见问题:验证码在后台不过期,导致长期使用(php默认session是24分钟过期);验证码校验不严格,逻辑出现问题;验证码设计的太过简单和有规律的被猜解(和客户端不一样的地方在于,24分钟之内,去客户端接着爆破,不输入验证码也还是可以爆破出来正确密码的,原因就是php默认session24分钟内是有效的)
③:弱验证码识别攻击
3、基于Token破解
由于token值输出在前端源代码中,容易被获取,因此也就失去了防暴力破解的意义,一般Token在防止CSRF上会有比较好的功效。