Burpsuit的暴力破解模块及暴力破解防范

Burpsuit的暴力破解模块及暴力破解防范

一、Attack type

1.sniper（狙击手）

一个变量一个字典，将字典内容依次往上填（一个字典一个参数，先匹配第一个再匹配第二个）

2.Cluster bomb（集束炸弹）

多个变量，多个字典，将字典内容排列组合（交叉匹配），把所有可能的组合依次发送

3.pitch fork（干草叉）

两个字典两个变量，一一对应（同行匹配），截止到最短的字典结束【在撞库中会用到，如获取到了饿了吗用户的账号密码库，用该账号密码去爆破支付宝】

4.battering ram（攻城锤）

一个字典两个参数，同用户名和密码（将一个字典的内容同时填到两个变量中）【不常用】

二、Payload type

1.Simple list

一般都使用此类型，直接载入字典

2.Custom iterator（自定义攻击器）

当内容为组合型内容时会用到，如：password分前后两个部分，前部分（position1）为前缀，中间（Separator for position）有分隔符，在后部分（position2）载入字典【加后缀同理】

使用此方法而不是在变量前直接加前缀的原因：因为有时会进行编码，此方法可以在brup中先编码再爆破

3.Null payloads

单纯发包，如发送100个数据包（DDOS攻击）

三、Payload Processing

此模块可以设置编码

四、Payload Encoding

此模块可以关闭开启URL编码

Burp可以爆破的不仅仅是账号密码！！！

还可以爆破：session id（较短的情况下）、路径（查看当前目录下有什么文件）、UA（查看网页可以使用什么浏览器访问）、http请求方法（看其支持什么方法）、referer

五、线程设置

Options->Request Engine->Number of threads

同一局域网内 20

互联网爆破 5

设计token等单线程操作 1

以上为比较合适的线程值

六、暴力破解的防范

1.密码的复杂性

十二位以上的字母+数字+特殊字符

2.验证码

图片验证码，手机验证码，邮箱验证码，答题验证码等

3.登录策略

限制登录错误次数（但是此方法有逻辑漏洞）