Burpsuit的暴力破解模块及暴力破解防范

Burpsuit的暴力破解模块及暴力破解防范

一、Attack type

1.sniper(狙击手)

一个变量一个字典,将字典内容依次往上填(一个字典一个参数,先匹配第一个再匹配第二个)

2.Cluster bomb(集束炸弹)

多个变量,多个字典,将字典内容排列组合(交叉匹配),把所有可能的组合依次发送

3.pitch fork(干草叉)

两个字典两个变量,一一对应(同行匹配),截止到最短的字典结束【在撞库中会用到,如获取到了饿了吗用户的账号密码库,用该账号密码去爆破支付宝】

4.battering ram(攻城锤)

一个字典两个参数,同用户名和密码(将一个字典的内容同时填到两个变量中)【不常用】

二、Payload type

1.Simple list

一般都使用此类型,直接载入字典

2.Custom iterator(自定义攻击器)

当内容为组合型内容时会用到,如:password分前后两个部分,前部分(position1)为前缀,中间(Separator for position)有分隔符,在后部分(position2)载入字典【加后缀同理】

使用此方法而不是在变量前直接加前缀的原因:因为有时会进行编码,此方法可以在brup中先编码再爆破

3.Null payloads

单纯发包,如发送100个数据包(DDOS攻击)

三、Payload Processing

此模块可以设置编码

四、Payload Encoding

此模块可以关闭开启URL编码

Burp可以爆破的不仅仅是账号密码!!!

还可以爆破:session id(较短的情况下)、路径(查看当前目录下有什么文件)、UA(查看网页可以使用什么浏览器访问)、http请求方法(看其支持什么方法)、referer

五、线程设置

Options->Request Engine->Number of threads

同一局域网内 20

互联网爆破 5

设计token等单线程操作 1

以上为比较合适的线程值

六、暴力破解的防范

1.密码的复杂性

十二位以上的字母+数字+特殊字符

2.验证码

图片验证码,手机验证码,邮箱验证码,答题验证码等

3.登录策略

限制登录错误次数(但是此方法有逻辑漏洞)

posted @ 2023-01-04 13:42  佐迦  阅读(442)  评论(0编辑  收藏  举报