eSafe白帽駭客資安網-網絡安全背後的巨人,提供駭客,網站入侵測試,網站被駭,網站漏洞,駭客入侵,資訊安全,入侵,ecshop,wordpress,漏洞修復,木馬清除,資安服務

網站安全-淺談用戶密碼暴力破解



             網站安全裡,用戶密碼被暴力破解,尤其網站的用戶登錄頁面,以及網站後台管理登錄

頁面,都會遭到攻擊者的暴力破解,常見的網站攻擊分SQL語句注入攻擊,密
碼弱口令攻擊,

用戶密碼暴力破解攻擊,跨站攻擊XSS等等網站攻擊方式。今天給
大家講解一下關於網站密碼暴

力破解的一些常用攻擊手法,知彼知己,百戰不殆。
 
 
網站用戶登錄的頁面裡包含了,用戶的名稱,以及用戶密碼,登錄驗證碼,三個主要的頁面功

能,我們從最簡單的角度去分析網站的用戶密碼是如何被破解的。
首先獲取到用戶名,那麼用

戶名該從哪裡獲取到呢? 一般是通過看登錄的提示語
,比如提示該用戶名不存在,以及網站新

聞,以及公告裡最上面的作者名字,通過
網站域名查管理員的相關信息,利用註冊郵箱名稱,

或者管理員的名字進行用戶名
的破解。然後接下來就是猜測用戶名的密碼,攻擊者一般手裡會

有常用的密碼字典
,比如123456、以及123456789,,97654321,這些數字加字母組合的密碼

攻擊字典
,靠這些字典去暴力的破解用戶的密碼。
 
 
還有驗證碼繞過攻擊,通過識別常用的驗證碼,以及刷新不重複的驗證碼,GET、POST抓包

分析驗證碼的特徵來直接繞過,或者通過驗證碼軟件自動識別,自動填入
來暴力破解用戶的密

碼。
 
 
在這裡我們科普一下網站數據的傳輸的方式型攻擊特徵,分為兩個特徵:
 
 
網站的密碼明文傳輸方式,網站登錄頁面裡沒有任何驗證,只有用戶名密碼,沒有驗證碼環節

,以及用戶登錄錯誤提示都沒有的,這樣是最受攻擊者的喜歡,這樣可
以用主機進行強力的

破解,密碼一般會在短時間內被破解出來,還有的利用明文
傳輸的方式,使用工具,像Burp

Suite配合自己的密碼字典。

 
網站的JS加密傳輸方式攻擊,現在大多數的網站都會在用戶登錄的時候才用JS加密,把密碼

加密成MD5比較複雜的密碼公式,再發送到網站後端,也就是主機端進
行效驗,解密,然

後判斷密碼是否與數據庫裡的用戶密碼對應,像這樣的JS加密,
對於攻擊者來說增加了破解

的難度,大多數網站才用的都是base64加密方式,MD5
密碼加密方式,SHAL密碼加密方式。

常用的就是MD5的加密方式,攻擊者通常會編
寫一段代碼就是JS解密的,來進行破解用戶的

密碼,或者編寫pytho腳本來進行破
解密碼。
分享: