网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。
暴力破解
- 何谓暴力破解攻击?即连续性尝试+字典+自动化测试。
- 有效的字典
- 常用的账号密码(弱口令),比如常用用户名/密码TOP 500
- 互联网上被脱裤后账号密码(社工库),比如优快云当年泄露的600W用户信息。
- 使用指定的字符使用工具按照指定的规则进行排列组合算法生成的密码
- 如果一个网站没有对登录接口实施防爆力破解的措施,或者实施了不合理的措施。则称该网站存在暴力破解漏洞。
- 防暴力破解措施:
- 是否要求用户设置了复杂的密码;
- 是否每次认证都使用安全的验证码;
- 是否对尝试登录的行为进行判断和限制;
- 是否在必要的情况下采用了双因素认证;...等
暴力破解漏洞测试流程
- 确认登录接口的脆弱性。确认目标是否存在暴力破解的漏洞。
- 对字典进行优化。根据实际情况对字典进行优化,提高暴破过程的效率。
- 根据注册提示信息进行优化。(密码位数,组合)
- 管理后台,往往是admin/administrator/root的几率比较高。
- 工具自动化操作。配置自动化工具,进行自动化操作。
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
