弱密码与BurpSuite爆破
1、弱口令
2、弱口令的分类
常见的数据库密码:
- root
- root123、123456
- tomcat
- jboss
3、暴力破解
用暴力方式进行破解
后台系统登录界面
- 爆破
- SQL注入 万能密码
- xss
- 未授权访问
- 扫子域名
- js文件
4、Burpsuite的使用和用bp爆破密码
设置https代理插件
导入证书
成功
bp的作用
burp能篡改内容
示例:
点Render可以显示网页
用bp爆破密码
1、狙击手模式
添加payload位置
创建字典
发现长度不一致,筛选出可能正确的密码
渲染网页发现正确
2、battering ram模式
把所有的标记位置用相同的字典内容替换(后面多的会被舍弃,一个对应一个)
3、pitchfork模式
两个字典一一对应
4、Cluster Bomb模式(更全面)(更好用)(时间更久)
直接两个字典全排列爆破
加解密的处理:bp自带加解密
5、如何防御
从开发者角度:
①密码密文传输
②限制错误次数
③二次验证(图片验证、短信验证、二维码、人脸识别、滑块验......)
④锁定ip,禁止访问0
从用户角度:
①密码尽量复杂
②不同网站用不同密码(防止撞库)
③定期修改密码
④上网时检查域名,防止被钓鱼
6、在线加密网站
本文作者:_ljnljn
本文链接:https://www.cnblogs.com/ljnljn/p/18648878
版权声明:本作品采用知识共享署名-非商业性使用-禁止演绎 2.5 中国大陆许可协议进行许可。
【推荐】国内首个AI IDE,深度理解中文开发场景,立即下载体验Trae
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步