暴力破解

暴力破解

见名思意，就是利用非常暴力的使用方法进行破解想要的东西（如账号密码等）；

通过穷举各个密码，进行一次次破解尝试，如果成功，就找到了对应的密码，并成功提示，找不到，则继续尝试下一次。

环境模拟

打开burp抓包软件

输入用户名密码点击login尝试在页面登录

发送到爆破测试模块

添加两个变量

攻击方式选择第四个集束炸弹

进入payload页面首先对第一个参数用户名进行配置

配置第二个参数密码，导入密码字典，然后点击右上角开始攻击

根据状态码及字符长度进行判断

尝试登录登录成功

防御暴力破解

人的层面：增强密码安全性

• 提升密码长度和复杂度

  采用四分之三原则

• 在不同的地方使用不同的密码

• 避免使用字典单词、数字组合、相邻键盘组合、重复的字符串。

  例如 password 、12345678、asdfg 、aaaa 或 123abc。

• 避免使用名字或者非机密的个人信息（电话号码、出生日期等）作为密码，或者是亲人、孩子、宠物的名字。因为当我们单击一些网站中的“忘记密码”链接时，系统有时会要求回答一系列问题。而答案通常可以在我们的社交媒体资料中找到，从而使帐户更易被破解。

• 定期修改密码

系统层面：做好密码防暴力破解设计

系统设计时考虑以下几个方面：

• 锁定策略：输错密码几次就将账户锁定，过段时间才可以再次尝试输入密码
• 验证码技术：要求用户完成简单的任务才能登录到系统，用户可以轻松完成，但暴力工具无法完成。例如图形验证码、短信等。
• 密码复杂度限制：强制用户设置长而复杂的密码，并强制定期更改密码。
• 双因子认证：结合两种不同的认证因素对用户进行认证的方法。例如密码、身份证、安全令牌、指纹、面部识别、地理信息等。