網站安全里,用戶密碼被暴力破解,尤其網站的用戶登錄頁面,以及網站后台管理
登錄
頁面,都會遭到攻擊者的暴力破解,常見的網站攻擊分SQL語句注入攻擊,密 碼弱口令攻擊,
用戶密碼暴力破解攻擊,跨站攻擊XSS等等網站攻擊方式。今天給 大家講解一下關於網站密碼暴
力破解的一些常用攻擊手法,知彼知己,百戰不殆。
頁面,都會遭到攻擊者的暴力破解,常見的網站攻擊分SQL語句注入攻擊,密 碼弱口令攻擊,
用戶密碼暴力破解攻擊,跨站攻擊XSS等等網站攻擊方式。今天給 大家講解一下關於網站密碼暴
力破解的一些常用攻擊手法,知彼知己,百戰不殆。
網站用戶登錄的頁面里包含了,用戶的名稱,以及用戶密碼,登錄驗證碼,三個主
要的頁面功
能,我們從最簡單的角度去分析網站的用戶密碼是如何被破解的。 首先獲取到用戶名,那么用
戶名該從哪里獲取到呢? 一般是通過看登錄的提示語 ,比如提示該用戶名不存在,以及網站新
聞,以及公告里最上面的作者名字,通過 網站域名查管理員的相關信息,利用注冊郵箱名稱,
或者管理員的名字進行用戶名 的破解。然后接下來就是猜測用戶名的密碼,攻擊者一般手里會
有常用的密碼字典 ,比如123456、以及123456789,,97654321,這些數字加字母組合的密碼
攻擊字典 ,靠這些字典去暴力的破解用戶的密碼。
能,我們從最簡單的角度去分析網站的用戶密碼是如何被破解的。 首先獲取到用戶名,那么用
戶名該從哪里獲取到呢? 一般是通過看登錄的提示語 ,比如提示該用戶名不存在,以及網站新
聞,以及公告里最上面的作者名字,通過 網站域名查管理員的相關信息,利用注冊郵箱名稱,
或者管理員的名字進行用戶名 的破解。然后接下來就是猜測用戶名的密碼,攻擊者一般手里會
有常用的密碼字典 ,比如123456、以及123456789,,97654321,這些數字加字母組合的密碼
攻擊字典 ,靠這些字典去暴力的破解用戶的密碼。
還有驗證碼繞過攻擊,通過識別常用的驗證碼,以及刷新不重復的驗證碼,GET、
POST抓包
分析驗證碼的特征來直接繞過,或者通過驗證碼軟件自動識別,自動填入 來暴力破解用戶的密
碼。
分析驗證碼的特征來直接繞過,或者通過驗證碼軟件自動識別,自動填入 來暴力破解用戶的密
碼。
在這里我們科普一下網站數據的傳輸的方式型攻擊特征,分為兩個特征:
網站的密碼明文傳輸方式,網站登錄頁面里沒有任何驗證,只有用戶名密碼,沒有
驗證碼環節
,以及用戶登錄錯誤提示都沒有的,這樣是最受攻擊者的喜歡,這樣可 以用服務器進行強力的
破解,密碼一般會在短時間內被破解出來,還有的利用明文 傳輸的方式,使用工具,像Burp
Suite配合自己的密碼字典。
,以及用戶登錄錯誤提示都沒有的,這樣是最受攻擊者的喜歡,這樣可 以用服務器進行強力的
破解,密碼一般會在短時間內被破解出來,還有的利用明文 傳輸的方式,使用工具,像Burp
Suite配合自己的密碼字典。
網站的JS加密傳輸方式攻擊,現在大多數的網站都會在用戶登錄的時候才用JS加密
,把密碼
加密成MD5比較復雜的密碼公式,再發送到網站后端,也就是服務器端進 行效驗,解密,然
后判斷密碼是否與數據庫里的用戶密碼對應,像這樣的JS加密, 對於攻擊者來說增加了破解
的難度,大多數網站才用的都是base64加密方式,MD5 密碼加密方式,SHAL密碼加密方式。
常用的就是MD5的加密方式,攻擊者通常會編 寫一段代碼就是JS解密的,來進行破解用戶的
密碼,或者編寫pytho腳本來進行破 解密碼。
加密成MD5比較復雜的密碼公式,再發送到網站后端,也就是服務器端進 行效驗,解密,然
后判斷密碼是否與數據庫里的用戶密碼對應,像這樣的JS加密, 對於攻擊者來說增加了破解
的難度,大多數網站才用的都是base64加密方式,MD5 密碼加密方式,SHAL密碼加密方式。
常用的就是MD5的加密方式,攻擊者通常會編 寫一段代碼就是JS解密的,來進行破解用戶的
密碼,或者編寫pytho腳本來進行破 解密碼。