Burpsuit的暴力破解模块及暴力破解防范
Burpsuit的暴力破解模块及暴力破解防范
一、Attack type
1.sniper(狙击手)
一个变量一个字典,将字典内容依次往上填(一个字典一个参数,先匹配第一个再匹配第二个)
2.Cluster bomb(集束炸弹)
多个变量,多个字典,将字典内容排列组合(交叉匹配),把所有可能的组合依次发送
3.pitch fork(干草叉)
两个字典两个变量,一一对应(同行匹配),截止到最短的字典结束【在撞库中会用到,如获取到了饿了吗用户的账号密码库,用该账号密码去爆破支付宝】
4.battering ram(攻城锤)
一个字典两个参数,同用户名和密码(将一个字典的内容同时填到两个变量中)【不常用】
二、Payload type
1.Simple list
一般都使用此类型,直接载入字典
2.Custom iterator(自定义攻击器)
当内容为组合型内容时会用到,如:password分前后两个部分,前部分(position1)为前缀,中间(Separator for position)有分隔符,在后部分(position2)载入字典【加后缀同理】
使用此方法而不是在变量前直接加前缀的原因:因为有时会进行编码,此方法可以在brup中先编码再爆破
3.Null payloads
单纯发包,如发送100个数据包(DDOS攻击)
三、Payload Processing
此模块可以设置编码
四、Payload Encoding
此模块可以关闭开启URL编码
Burp可以爆破的不仅仅是账号密码!!!
还可以爆破:session id(较短的情况下)、路径(查看当前目录下有什么文件)、UA(查看网页可以使用什么浏览器访问)、http请求方法(看其支持什么方法)、referer
五、线程设置
Options->Request Engine->Number of threads
同一局域网内 20
互联网爆破 5
设计token等单线程操作 1
以上为比较合适的线程值
六、暴力破解的防范
1.密码的复杂性
十二位以上的字母+数字+特殊字符
2.验证码
图片验证码,手机验证码,邮箱验证码,答题验证码等
3.登录策略
限制登录错误次数(但是此方法有逻辑漏洞)