什么是暴力破解漏洞?如何检测与修复

举报
网站安全防护 发表于 2021/06/15 09:45:34 2021/06/15
【摘要】 “暴力破解”的基本思想是,根据问题的一部分条件,来明确答案的大致范围,并在此范围内逐个验证所有可能的情况,直至全部情况验证完毕。当某一情形符合问题全部条件时,为本问题的一个解;当所有情形验证后均不满足问题全部条件时,为本题无解。经常出现在网站的登录系统中,通过对已知的管理员用户名尝试使用其登录密码。检验方法:发现站点登录页。使用burp抓包登录页面,把它发送给Intpetrar,并密码设置参...

“暴力破解”的基本思想是,根据问题的一部分条件,来明确答案的大致范围,并在此范围内逐个验证所有可能的情况,直至全部情况验证完毕。当某一情形符合问题全部条件时,为本问题的一个解;当所有情形验证后均不满足问题全部条件时,为本题无解。经常出现在网站的登录系统中,通过对已知的管理员用户名尝试使用其登录密码。

检验方法:发现站点登录页。使用burp抓包登录页面,把它发送给Intpetrar,并密码设置参数,比如pwd=变量,添加payload(dictionary),开展攻击,在攻击期间查看它返回的字节长,以明确是否成功。一般来说,暴力破解有三种形式:通过暴力破解密码的固定帐户。当知道账户有规律,或通过某种方式获得大量账户信息时,固定密码就会对账户开展暴力破解。利用网络上流传的帐号密码库开展碰撞攻击。

通常情况下,攻击者会使用自动脚本将普通用户名和密码,即字典,与软件burpsuite的intruder功能紧密结合,开展暴力破解。以下是一些预防暴力袭击的方法:

一是帐户锁定。帐户锁定是一种非常有效的方法,因为通过5-6次的探查,暴力破解程序猜出密码的可能性非常小。但同时也不允许普通用户使用。如果成功地将用户名探测设置为攻击者的探测行为,则会导致严重的拒绝服务攻击。探测帐户锁定无效,只能使用一个密码探测大量用户名。假如已经锁定的帐号没有返回信息,可能会让攻击者感到困惑。

二、返回信息。假如无论结果如何都返回成功的信息,破解软件将停止攻击。但对于人们来说,它很快就会消失。

三、页面跳跃。当出现登录错误时,跳到另一页要求重新登录。例如,第126号和校内网就是如此。限制是不能一直跳页,通常只在第一次出现错误时才开展跳转,但在第一次出现后,仍然可以继续使用暴力检测。

四、适当延迟时间。在查看密码时适当地插入一些停顿,可以减缓攻击,但也会对用户产生一些影响。

封堵IP地址多次登录。这个方法也有缺点,因为攻击者可以在一定时间内更换IP。

【版权声明】本文为华为云社区用户原创内容,转载时必须标注文章的来源(华为云社区)、文章链接、文章作者等基本信息, 否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱: cloudbbs@huaweicloud.com
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。