网站安全里,用户密码被暴力破解,尤其网站的用户登录页面,以及网站后台管理登录
页面,都会遭到攻击者的暴力破解,常见的网站攻击分SQL语句注入攻击,密码弱口令攻击,
用户密码暴力破解攻击,跨站攻击XSS等等网站攻击方式。今天给大家讲解一下关于网站密码暴
力破解的一些常用攻击手法,知彼知己,百战不殆。
页面,都会遭到攻击者的暴力破解,常见的网站攻击分SQL语句注入攻击,密码弱口令攻击,
用户密码暴力破解攻击,跨站攻击XSS等等网站攻击方式。今天给大家讲解一下关于网站密码暴
力破解的一些常用攻击手法,知彼知己,百战不殆。
网站用户登录的页面里包含了,用户的名称,以及用户密码,登录验证码,三个主要的页面功
能,我们从最简单的角度去分析网站的用户密码是如何被破解的。首先获取到用户名,那么用
户名该从哪里获取到呢? 一般是通过看登录的提示语,比如提示该用户名不存在,以及网站新
闻,以及公告里最上面的作者名字,通过网站域名查管理员的相关信息,利用注册邮箱名称,
或者管理员的名字进行用户名的破解。然后接下来就是猜测用户名的密码,攻击者一般手里会
有常用的密码字典,比如123456、以及123456789,,97654321,这些数字加字母组合的密码
攻击字典,靠这些字典去暴力的破解用户的密码。
能,我们从最简单的角度去分析网站的用户密码是如何被破解的。首先获取到用户名,那么用
户名该从哪里获取到呢? 一般是通过看登录的提示语,比如提示该用户名不存在,以及网站新
闻,以及公告里最上面的作者名字,通过网站域名查管理员的相关信息,利用注册邮箱名称,
或者管理员的名字进行用户名的破解。然后接下来就是猜测用户名的密码,攻击者一般手里会
有常用的密码字典,比如123456、以及123456789,,97654321,这些数字加字母组合的密码
攻击字典,靠这些字典去暴力的破解用户的密码。
还有验证码绕过攻击,通过识别常用的验证码,以及刷新不重复的验证码,GET、POST抓包
分析验证码的特征来直接绕过,或者通过验证码软件自动识别,自动填入来暴力破解用户的密
码。
分析验证码的特征来直接绕过,或者通过验证码软件自动识别,自动填入来暴力破解用户的密
码。
在这里我们科普一下网站数据的传输的方式型攻击特征,分为两个特征:
网站的密码明文传输方式,网站登录页面里没有任何验证,只有用户名密码,没有验证码环节
,以及用户登录错误提示都没有的,这样是最受攻击者的喜欢,这样可以用服务器进行强力的
破解,密码一般会在短时间内被破解出来,还有的利用明文传输的方式,使用工具,像Burp
Suite配合自己的密码字典。
,以及用户登录错误提示都没有的,这样是最受攻击者的喜欢,这样可以用服务器进行强力的
破解,密码一般会在短时间内被破解出来,还有的利用明文传输的方式,使用工具,像Burp
Suite配合自己的密码字典。
网站的JS加密传输方式攻击,现在大多数的网站都会在用户登录的时候才用JS加密,把密码
加密成MD5比较复杂的密码公式,再发送到网站后端,也就是服务器端进行效验,解密,然
后判断密码是否与数据库里的用户密码对应,像这样的JS加密,对于攻击者来说增加了破解
的难度,大多数网站才用的都是base64加密方式,MD5密码加密方式,SHAL密码加密方式。
常用的就是MD5的加密方式,攻击者通常会编写一段代码就是JS解密的,来进行破解用户的
密码,或者编写pytho脚本来进行破解密码。
加密成MD5比较复杂的密码公式,再发送到网站后端,也就是服务器端进行效验,解密,然
后判断密码是否与数据库里的用户密码对应,像这样的JS加密,对于攻击者来说增加了破解
的难度,大多数网站才用的都是base64加密方式,MD5密码加密方式,SHAL密码加密方式。
常用的就是MD5的加密方式,攻击者通常会编写一段代码就是JS解密的,来进行破解用户的
密码,或者编写pytho脚本来进行破解密码。
