暴力破解漏洞

暴力破解漏洞

暴力破解是一种具体的攻击手段,一般使用这种手段对应用系统的认证信息进行获取。其大致过程使用大量认证信息在认证接口进行尝试登录,直到获取正确的认证口令。

产生条件:

  • 服务端未做登录次数限制或有办法绕过限制,导致攻击者可以通过多次进行登录。
  • 用户设置了弱密码或者密码被泄露

攻击方式: 攻击者利用自动化工具,尝试所有可能的组合,直到找到正确的密码。
目标: 常见目标包括用户账户、wifi网络、加密文件等任何需要身份验证的系统。
常使用的工具: burp site、hydra。
防御措施:

  • 限制登录尝试: 设置账户锁定策略,限制失败登录尝试次数。失败多次之后进行账号锁定和ip锁定。
  • 登录设置验证码: 增加额外验证码机制,增加攻击使用自动化工具的难度。
  • 复杂密码: 强制或鼓励用户设置长且复杂的密码,降低被暴力破解成功的机率。
  • 多因素认证:敏感操作增加额外的身份认证策略,降低密码被破解之后所造成的损失。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值