暴力破解漏洞
暴力破解是一种具体的攻击手段,一般使用这种手段对应用系统的认证信息进行获取。其大致过程使用大量认证信息在认证接口进行尝试登录,直到获取正确的认证口令。
产生条件:
- 服务端未做登录次数限制或有办法绕过限制,导致攻击者可以通过多次进行登录。
- 用户设置了弱密码或者密码被泄露
攻击方式: 攻击者利用自动化工具,尝试所有可能的组合,直到找到正确的密码。
目标: 常见目标包括用户账户、wifi网络、加密文件等任何需要身份验证的系统。
常使用的工具: burp site、hydra。
防御措施:
- 限制登录尝试: 设置账户锁定策略,限制失败登录尝试次数。失败多次之后进行账号锁定和ip锁定。
- 登录设置验证码: 增加额外验证码机制,增加攻击使用自动化工具的难度。
- 复杂密码: 强制或鼓励用户设置长且复杂的密码,降低被暴力破解成功的机率。
- 多因素认证:敏感操作增加额外的身份认证策略,降低密码被破解之后所造成的损失。