暴力破解与验证码安全
2021-12-11 02:08:25 0 举报AI智能生成
无
作者其他创作
大纲/内容
注意事项
1、破解前一定要有一个有郊的字典(Top100 TOP2000 csdn QQ 163等密码)
2、判断用户是否设置了复杂的密码
3、网站是否存在验证码
4、尝试登录的行为是否有限制
5、网站是否双因素认证、Token值等等
漏洞产生位置
注入点及万能密码登录
不安全的用户提示,一般提示用户名不存在或密码及验证码错误
查看登录页面源代码,是否存在敏感信息泄露
不安全的验证码
在注册帐号的时候是否是否存在不安全的提示
不安全的密码,在注册帐号的时候,密码没有限制复杂度
在暴力破解的时候未限止ip,锁定用户
一个帐号可以在多地登录,没有安全提示
帐号登录之后,应该具备超时功能
任意无限注册帐号
OA、邮件、默认帐号等相关系统,在不是自己注册的情况下,应该在登录之后要强行更改密码
逻辑漏洞,任意密码重置
越权漏洞,纵向,横向越权
数据包含有敏感信息泄露,如cookice
不安全的数据传输,密码为明文,未使用https证书
任意文件下载
<b><font color="#ff0000">暴力破解分类</font></b>
C/S (即客户端/服务器)
Bruter
<b><font color="#ff0000">hydra</font></b>
-R 继续从上一次进度接着破解。<br>-S 采用SSL链接。<br>-s PORT 可通过这个参数指定非默认端口。<br>-l LOGIN 指定破解的用户,对特定用户破解。<br>-L FILE 指定用户名字典。<br>-p PASS 小写,指定密码破解,少用,一般是采用密码字典。<br>-P FILE 大写,指定密码字典。<br>-e ns 可选选项,n:空密码试探,s:使用指定用户和密码试探。<br>-C FILE 使用冒号分割格式,例如“登录名:密码”来代替-L/-P参数。<br>-M FILE 指定目标列表文件一行一条。<br>-o FILE 指定结果输出文件。<br>-f 在使用-M参数以后,找到第一对登录名或者密码的时候中止破解。<br>-t TASKS 同时运行的线程数,默认为16。<br>-w TIME 设置最大超时的时间,单位秒,默认是30s。<br>-v / -V 显示详细过程。<br>
<b><font color="#ff0000">B/S</font></b> (浏览器/服务器)
基于表单的暴力破解
基于验证码暴力破解
<b><font color="#ff0000">on client(客户端校验)</font><font color="#000000">常见问题:不安全的前端js实现验证码;不安全的将验证码在cookie中泄露;不安全的将验证码在前端源代码中泄露</font></b><br>
<b><font color="#ff0000">on server (服务端校验</font><font color="#000000">)常见问题:验证码在后台不过期,导致长期使用(php默认session是24分钟过期);验证码校验不严格,逻辑出现问题;验证码设计的太过简单和有规律的被猜解</font></b>
<b><font color="#ff0000">弱验证码识别攻击</font></b>
基于<font color="#ff0000"><b>Token</b></font>破解(<font color="#ff0000">音叉</font>)
由于token值输出在前端源代码中,容易被获取,因此也就失去了防暴力破解的意义,一般<b><font color="#ff0000">Token在防止CSRF</font></b>上会有比较好的功效。
破解方式为音叉;线程数设为1;Grep-Extract设置好开始token" value=" 结束为" /> ;有郊载荷设为递归搜索<br>"token" value="
<b><font color="#ff0000">暴力猜解与安全防范策略</font></b>
<b><font color="#ff0000">1) 强制要求输入验证码,否则,必须实施IP策略。 注意不要被X-Forwaded-For绕过了!</font></b>
<b><font color="#ff0000">2) 验证码只能用一次,用完立即过期!不能再次使用(默认24分钟过期)</font></b>
<b><font color="#ff0000">3) 验证码不要太弱。扭曲、变形、干扰线条、干扰背景色、变换字体等。</font></b>
<b><font color="#ff0000">4) 大网站最好统一安全验证码,各处使用同一个验证码接口。</font></b>
分支主题
0 条评论
下一页
