定义
暴力破解 (Brute Force)也称为字典攻击,通常被用于攻击网站的用户账户名/密码
使用自动化脚本以枚举的方式尝试所有可能的用户名或密码组合。通过攻击用户的账户名和密码,窃取用户个人信息或获取网站管理权限等。
暴力破解攻击产生原因
1、用户口令过于简单,容易被猜测或者破解;
2、系统没有对用户提交次数进行限制,攻击者可以通过多次尝试猜测口令;
3、系统没有采用验证码等防御手段攻击者可以通过自动化程序进行暴力破解攻击;
4、系统没有采用token等防御手段,攻击者可以通过伪造请求进行暴力破解攻击。
暴力破解防御分类
1.简单的暴力破解
2.前端JS检测验证码
3.后端服务器检测验证码
4.Token防爆破检测
Burpsuite
Burp Suite 是用于攻击web 应用程序的集成平台。它包含了许多工具,并为这些工具设计了许多接口,以促进加快攻击应用程序的过程所有的工具都共享一个能处理并显示HTTP 消息,持久性,认证,代理,日志,警报的一个强大的可扩展的框架。使用前需要安装java环境,常用来进行web应用的暴力破解。
Burp Intruder
Burp Intruder是一个强大的工具,用于自动对Web应用程序自定义的攻击Burp Intruder 是高度可配置的,并被用来在广范围内进行自动化攻击。你可以使用Burpntruder 方便地执行许多任务,包括枚举标识符,获取有用数据,漏洞模糊测试。
合适的攻击类型取决于应用程序的情况,可能包括:
缺陷测试
SQL注入,跨站点脚本,路径遍历
暴力攻击认证系统
枚举操纵参数
拖出隐藏的内容和功能
会话令牌测序和会话劫持,数据挖掘并发攻击
应用层的拒绝服务式攻击。
我是知识星球上约有3万人的AI破局俱乐部初创合伙人,我的微信号是zhaoseaside,欢迎大家加我,相互学习AI知识和个人IP知识,毕竟这是未来两大风口。
