暴力破解与验证码绕过

看到用户登录我们一般可以想到的逻辑漏洞:

1.密码长度,复杂度没有做限制
2.没有验证码
3.单独提示账号或密码错误
4.没有做用户唯一性判断
5.token验证
6.错误次数没有做验证
7.4位数字验证码

服务器端爆破(B/S)

一、token验证绕过

设置好了破解即可

二、验证码绕过

客户端爆破(C/S)

一、burter爆破ssh ,smb服务
更改协议即可实现破解不通服务

二、hydra破解账号密码

参数介绍

常用语句
hydra -L 用户名字典 -P 密码字典 -vV -e ns ip地址 服务

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
平台声明:文章内容(如有图片或视频亦包括在内)由作者上传并发布,文章内容仅代表作者本人观点,简书系信息发布平台,仅提供信息存储服务。

推荐阅读更多精彩内容

  • 本文是Medusa和Hydra快速入门手册的第二部分,第一部分的传送门这两篇也是后续爆破篇的一部分,至于字典,放在...
    LinuxSelf阅读 2,883评论 0 4
  • 写出一个网站登录的地方有那些漏洞,用自己的语言做一个总结。 1、 用户是否设置了复杂的密码 2、网站是否存在验证码...
    卿酌南烛_b805阅读 1,061评论 0 1
  • 一.本文介绍 1、本文介绍登录存在哪些漏洞、验证码、token绕过、验证码识别、密码暴破、防范。 二.学习步骤 1...
    _Beginner阅读 8,190评论 0 1
  • 暴力破解&暴力破解漏洞概述 暴力破解连续性尝试 + 字典 + 自动化 字典 一个有效的字典,可以大大的提高暴力破解...
    sunnnnnnnnnny阅读 747评论 0 1
  • 一、目标励志,明方向。 学年初,结合我校各年级、各班级实际情况,明确了“146"班级目标,落实到人,落实到...
    水晶之语阅读 216评论 0 1