暴力破解与验证码安全

1、破解前一定要有一个有郊的字典（Top100 TOP2000 csdn QQ 163等密码）

2、判断用户是否设置了复杂的密码

3、网站是否存在验证码

4、尝试登录的行为是否有限制

5、网站是否双因素认证、Token值等等

注意事项

注入点及万能密码登录

不安全的用户提示，一般提示用户名不存在或密码及验证码错误

查看登录页面源代码，是否存在敏感信息泄露

不安全的验证码

在注册帐号的时候是否是否存在不安全的提示

不安全的密码，在注册帐号的时候，密码没有限制复杂度

在暴力破解的时候未限止ip，锁定用户

一个帐号可以在多地登录，没有安全提示

帐号登录之后，应该具备超时功能

任意无限注册帐号

OA、邮件、默认帐号等相关系统，在不是自己注册的情况下，应该在登录之后要强行更改密码

逻辑漏洞，任意密码重置

越权漏洞，纵向，横向越权

数据包含有敏感信息泄露，如cookice

不安全的数据传输，密码为明文，未使用https证书

任意文件下载

漏洞产生位置

Bruter

-R 继续从上一次进度接着破解。-S 采用SSL链接。-s PORT 可通过这个参数指定非默认端口。-l LOGIN 指定破解的用户，对特定用户破解。-L FILE 指定用户名字典。-p PASS 小写，指定密码破解，少用，一般是采用密码字典。-P FILE 大写，指定密码字典。-e ns 可选选项，n：空密码试探，s：使用指定用户和密码试探。-C FILE 使用冒号分割格式，例如“登录名:密码”来代替-L/-P参数。-M FILE 指定目标列表文件一行一条。-o FILE 指定结果输出文件。-f 在使用-M参数以后，找到第一对登录名或者密码的时候中止破解。-t TASKS 同时运行的线程数，默认为16。-w TIME 设置最大超时的时间，单位秒，默认是30s。-v / -V 显示详细过程。

hydra

C/S (即客户端/服务器)

基于表单的暴力破解

on client（客户端校验）常见问题：不安全的前端js实现验证码；不安全的将验证码在cookie中泄露；不安全的将验证码在前端源代码中泄露

on server (服务端校验）常见问题：验证码在后台不过期，导致长期使用(php默认session是24分钟过期)；验证码校验不严格，逻辑出现问题；验证码设计的太过简单和有规律的被猜解

弱验证码识别攻击

破解方式为音叉；线程数设为1；Grep-Extract设置好开始token\" value=\"          结束为\" /> ；有郊载荷设为递归搜索\"token\" value=\"

由于token值输出在前端源代码中，容易被获取，因此也就失去了防暴力破解的意义，一般Token在防止CSRF上会有比较好的功效。

基于Token破解（音叉）

基于验证码暴力破解

B/S (浏览器/服务器）

暴力破解分类

1) 强制要求输入验证码，否则，必须实施IP策略。 注意不要被X-Forwaded-For绕过了！

2) 验证码只能用一次，用完立即过期！不能再次使用（默认24分钟过期）

3) 验证码不要太弱。扭曲、变形、干扰线条、干扰背景色、变换字体等。

4) 大网站最好统一安全验证码，各处使用同一个验证码接口。

暴力猜解与安全防范策略

分支主题

暴力猜解与验证码安全