目录
一、什么是暴力破解?
二、暴力破解弱口令实验
三、如何防御暴力破解攻击?
一、什么是暴力破解?
暴力破解也可称为穷举法、枚举法,是一种针对于密码的破译方法,将密码进行逐个推算直到找出真正的密码为止。设置长而复杂的密码、在不同的地方使用不同的密码、避免使用个人信息作为密码、定期修改密码等是防御暴力破解的有效方法。
暴力破解的原理就是使用攻击者自己的用户名和密码字典,一个一个去枚举,尝试是否能够登录。因为理论上来说,只要字典足够庞大,枚举总是能够成功的!
但实际发送的数据并不像想象中的那样简单——“ 每次只向服务器发送用户名和密码字段即可!”,实际情况是每次发送的数据都必须要封装成完整的 HTTP 数据包才能被服务器接收。但是你不可能一个一个去手动构造数据包,所以在实施暴力破解之前,我们只需要先去获取构造HTTP包所需要的参数,然后扔给暴力破解软件构造工具数据包,然后实施攻击就可以了。
暴力破解是一把双刃剑,一方面能够被恶意者使用,另一方面在计算机安全性方面却非常重要,它用于检查系统、网络或应用程序中使用的弱密码。
二、暴力破解弱口令实验
实验环境:DVWA
暴力破解工具:burpsuite
第一步:打开DVWA:
随便输入用户名和密码第二步:打开burpsuite拦截
第三步:选择我们要破解的变量
把下面的“§”都删掉
第四步:设置两个payload
再敲一下回车,大功告成
你学废了吗
三、如何防御暴力破解攻击
人的层面:增强密码安全性
提升密码长度和复杂度
在不同的地方使用不同的密码
避免使用字典单词、数字组合、相邻键盘组合、重复的字符串
避免使用名字或者非机密的个人信息(电话号码、出生日期等)作为密码,或者是亲人、孩子、宠物的名字
定期修改密码
系统层面:做好密码防暴力破解设计
锁定策略:输错密码几次就锁定一段时间
验证码技术:要求用户完成简单的任务才能登录到系统
密码复杂度限制:强制用户设置长而复杂的密码,并强制定期更改密码
双因子认证:结合两种不同的认证因素对用户进行认证