网站安全服务浅谈用户密码暴力破解
网站安全里,用户密码被暴力破解,尤其网站的用户登录页面,以及网站后台管理
登录
页面,都会遭到攻击者的暴力破解,常见的网站攻击分SQL语句注入攻击,密 码弱口令攻击,
用户密码暴力破解攻击,跨站攻击XSS等等网站攻击方式。今天给 大家讲解一下关于网站密码暴
力破解的一些常用攻击手法,知彼知己,百战不殆。
页面,都会遭到攻击者的暴力破解,常见的网站攻击分SQL语句注入攻击,密 码弱口令攻击,
用户密码暴力破解攻击,跨站攻击XSS等等网站攻击方式。今天给 大家讲解一下关于网站密码暴
力破解的一些常用攻击手法,知彼知己,百战不殆。
网站用户登录的页面里包含了,用户的名称,以及用户密码,登录验证码,三个主
要的页面功
能,我们从最简单的角度去分析网站的用户密码是如何被破解的。 首先获取到用户名,那么用
户名该从哪里获取到呢? 一般是通过看登录的提示语 ,比如提示该用户名不存在,以及网站新
闻,以及公告里最上面的作者名字,通过 网站域名查管理员的相关信息,利用注册邮箱名称,
或者管理员的名字进行用户名 的破解。然后接下来就是猜测用户名的密码,攻击者一般手里会
有常用的密码字典 ,比如123456、以及123456789,,97654321,这些数字加字母组合的密码
攻击字典 ,靠这些字典去暴力的破解用户的密码。
能,我们从最简单的角度去分析网站的用户密码是如何被破解的。 首先获取到用户名,那么用
户名该从哪里获取到呢? 一般是通过看登录的提示语 ,比如提示该用户名不存在,以及网站新
闻,以及公告里最上面的作者名字,通过 网站域名查管理员的相关信息,利用注册邮箱名称,
或者管理员的名字进行用户名 的破解。然后接下来就是猜测用户名的密码,攻击者一般手里会
有常用的密码字典 ,比如123456、以及123456789,,97654321,这些数字加字母组合的密码
攻击字典 ,靠这些字典去暴力的破解用户的密码。
还有验证码绕过攻击,通过识别常用的验证码,以及刷新不重复的验证码,GET、
POST抓包
分析验证码的特征来直接绕过,或者通过验证码软件自动识别,自动填入 来暴力破解用户的密
码。
分析验证码的特征来直接绕过,或者通过验证码软件自动识别,自动填入 来暴力破解用户的密
码。
在这里我们科普一下网站数据的传输的方式型攻击特征,分为两个特征:
网站的密码明文传输方式,网站登录页面里没有任何验证,只有用户名密码,没有
验证码环节
,以及用户登录错误提示都没有的,这样是最受攻击者的喜欢,这样可 以用服务器进行强力的
破解,密码一般会在短时间内被破解出来,还有的利用明文 传输的方式,使用工具,像Burp
Suite配合自己的密码字典。
,以及用户登录错误提示都没有的,这样是最受攻击者的喜欢,这样可 以用服务器进行强力的
破解,密码一般会在短时间内被破解出来,还有的利用明文 传输的方式,使用工具,像Burp
Suite配合自己的密码字典。
网站的JS加密传输方式攻击,现在大多数的网站都会在用户登录的时候才用JS加密
,把密码
加密成MD5比较复杂的密码公式,再发送到网站后端,也就是服务器端进 行效验,解密,然
后判断密码是否与数据库里的用户密码对应,像这样的JS加密, 对于攻击者来说增加了破解
的难度,大多数网站才用的都是base64加密方式,MD5 密码加密方式,SHAL密码加密方式。
常用的就是MD5的加密方式,攻击者通常会编 写一段代码就是JS解密的,来进行破解用户的
密码,或者编写pytho脚本来进行破 解密码。
加密成MD5比较复杂的密码公式,再发送到网站后端,也就是服务器端进 行效验,解密,然
后判断密码是否与数据库里的用户密码对应,像这样的JS加密, 对于攻击者来说增加了破解
的难度,大多数网站才用的都是base64加密方式,MD5 密码加密方式,SHAL密码加密方式。
常用的就是MD5的加密方式,攻击者通常会编 写一段代码就是JS解密的,来进行破解用户的
密码,或者编写pytho脚本来进行破 解密码。