網站安全裡,用戶密碼被暴力破解,尤其網站的用戶登錄頁面,以及網站後台管理登錄
頁面,都會遭到攻擊者的暴力破解,常見的網站攻擊分SQL語句注入攻擊,密碼弱口令攻擊,
用戶密碼暴力破解攻擊,跨站攻擊XSS等等網站攻擊方式。今天給大家講解一下關於網站密碼暴
力破解的一些常用攻擊手法,知彼知己,百戰不殆。
網站用戶登錄的頁面裡包含了,用戶的名稱,以及用戶密碼,登錄驗證碼,三個主要的頁面功
能,我們從最簡單的角度去分析網站的用戶密碼是如何被破解的。首先獲取到用戶名,那麼用
戶名該從哪裡獲取到呢? 一般是通過看登錄的提示語,比如提示該用戶名不存在,以及網站新
聞,以及公告裡最上面的作者名字,通過網站域名查管理員的相關信息,利用註冊郵箱名稱,
或者管理員的名字進行用戶名的破解。然後接下來就是猜測用戶名的密碼,攻擊者一般手裡會
有常用的密碼字典,比如123456、以及123456789,,97654321,這些數字加字母組合的密碼
攻擊字典,靠這些字典去暴力的破解用戶的密碼。
能,我們從最簡單的角度去分析網站的用戶密碼是如何被破解的。首先獲取到用戶名,那麼用
戶名該從哪裡獲取到呢? 一般是通過看登錄的提示語,比如提示該用戶名不存在,以及網站新
聞,以及公告裡最上面的作者名字,通過網站域名查管理員的相關信息,利用註冊郵箱名稱,
或者管理員的名字進行用戶名的破解。然後接下來就是猜測用戶名的密碼,攻擊者一般手裡會
有常用的密碼字典,比如123456、以及123456789,,97654321,這些數字加字母組合的密碼
攻擊字典,靠這些字典去暴力的破解用戶的密碼。
還有驗證碼繞過攻擊,通過識別常用的驗證碼,以及刷新不重複的驗證碼,GET、POST抓包
分析驗證碼的特徵來直接繞過,或者通過驗證碼軟件自動識別,自動填入來暴力破解用戶的密
碼。
分析驗證碼的特徵來直接繞過,或者通過驗證碼軟件自動識別,自動填入來暴力破解用戶的密
碼。
在這裡我們科普一下網站數據的傳輸的方式型攻擊特徵,分為兩個特徵:
網站的密碼明文傳輸方式,網站登錄頁面裡沒有任何驗證,只有用戶名密碼,沒有驗證碼環節
,以及用戶登錄錯誤提示都沒有的,這樣是最受攻擊者的喜歡,這樣可以用主機進行強力的
破解,密碼一般會在短時間內被破解出來,還有的利用明文傳輸的方式,使用工具,像Burp
Suite配合自己的密碼字典。
,以及用戶登錄錯誤提示都沒有的,這樣是最受攻擊者的喜歡,這樣可以用主機進行強力的
破解,密碼一般會在短時間內被破解出來,還有的利用明文傳輸的方式,使用工具,像Burp
Suite配合自己的密碼字典。
網站的JS加密傳輸方式攻擊,現在大多數的網站都會在用戶登錄的時候才用JS加密,把密碼
加密成MD5比較複雜的密碼公式,再發送到網站後端,也就是主機端進行效驗,解密,然
後判斷密碼是否與數據庫裡的用戶密碼對應,像這樣的JS加密,對於攻擊者來說增加了破解
的難度,大多數網站才用的都是base64加密方式,MD5密碼加密方式,SHAL密碼加密方式。
常用的就是MD5的加密方式,攻擊者通常會編寫一段代碼就是JS解密的,來進行破解用戶的
密碼,或者編寫pytho腳本來進行破解密碼。
加密成MD5比較複雜的密碼公式,再發送到網站後端,也就是主機端進行效驗,解密,然
後判斷密碼是否與數據庫裡的用戶密碼對應,像這樣的JS加密,對於攻擊者來說增加了破解
的難度,大多數網站才用的都是base64加密方式,MD5密碼加密方式,SHAL密碼加密方式。
常用的就是MD5的加密方式,攻擊者通常會編寫一段代碼就是JS解密的,來進行破解用戶的
密碼,或者編寫pytho腳本來進行破解密碼。
