暴力破解及验证码安全

1️⃣、暴力破解注意事项

破解前一定要有一个有郊的字典(Top100 TOP2000 csdn QQ 163等密码);

判断用户是否设置了复杂的密码(可以自己尝试一下,走一下流程)、

网站是否存在验证码、

尝试登录的行为是否有限制(次数久了会不会限制IP或者账号)、

网站是否双因素认证(要有,如果没有要限制内网登录,http登录)、Token值等等

对目标网站进行注册,搞清楚帐号密码的一些限制,比如目标站点要求密码必须是8位以上,字母数字组合,则可以按照此优化字典,比如去掉不符合要求的密码。如果破解的是管理后台密码,可使用admin/administrator/root帐号机率较高,可以使用这三个帐号+随便一个密码字典进行暴力破解,是破解过程中一定要注意观察提示,如“用户名或密码错误”“密码错误”“用户名不存在”等相关提示。

2️⃣、暴力破解分类(c/s:ftp/3389/ssh/445 b/s:一般是爆破web页面) s:服务器 c:web页面 b:浏览器

①、b/s(无验证码)

1)、基于表单的暴力破解

借助burp抓包,抓包之后发送到intruder,给密码设置变量借助字典进行查询

2)、基于验证码暴力破解

前端校验:借助burp抓包,发送到intruder,删除验证码变量,设置密码变量,进行密码爆破

on client常见问题:不安全的前端js实现验证码;不安全的将验证码在cookie中泄露;不安全的将验证码在前端源代码中泄露

服务端校验:借助burp抓包,发送到intruder,保留验证码变量,设置密码变量,进行密码爆破

on server常见问题:验证码在后台不过期,导致长期使用(php默认session是24分钟过期);验证码校验不严格,逻辑出现问题;验证码设计的太过简单和有规律的被猜解

3)、基于Token破解:借助burp抓包,发送到intruder,攻击类型设置成音叉,设置密码变量和token值变量,进行爆破。

(参考token破解文档)通过token获得密码

由于token值输出在前端源代码中,容易被获取,因此也就失去了防暴力破解的意义,一般Token在防止CSRF上会有比较好的功郊。

注意:破解方式为音叉;线程数设为1;Grep-Extract设置好开始token" value=" 结束为" /> ;有郊载荷设为递归搜索"token" value="【取token值】

4)、pkav工具的使用(验证码安全)

由于版本问题,当前该软件还不能实现抓包,只能通过burp抓好包,然后复制过来。

1、给密码和验证码设置标记,添加web字典。

2、复制验证码图片链接地址。(图片型)【复杂验证码搞不定】

Ⅲ、验证码分类

Gif动画验证码、手机短信验证码(时间、内容限制)、手机语音验证码、视频验证码

Ⅳ、验证码原理

1.客户端发起一个请求

2.服务端响应并创建一个新的SessionID同时生成一个随机验证码。

3.服务端将验证码和SessionID一并返回给客户端

4.客户端提交验证码连同SessionID给服务端

5.服务端验证验证码同时销毁当前会话,返回给客户端结果

Ⅴ、 安全问题及案例

1、客户端生成验证码

南开大学案例:

2.验证码输出客户端

索尼验证码实现缺陷 http://www.wooyun.org/bugs/wooyun-2012-06634

某会考报名系统验证码绕http://www.wooyun.org/bugs/wooyun-2014-063644

3.验证码输出在cookie中

吉祥航空 http://www.wooyun.org/bugs/wooyun-2014-086797

5173验证码可被绕过 http://www.wooyun.org/bugs/wooyun-2012-05151

Ⅵ、服务端问题

1、验证码不过期,没有及时销毁会话导致验证码复用(这个是最常见的,php默认有23分钟才能自动销毁验证码)**

2、没有进行非空判断

3、产生的验证码问题集内的答案非常有限

139邮箱图验证码绕过漏洞 http://www.wooyun.org/bugs/wooyun-2013-025245

Ⅶ、修改建议

  1. 强制要求输入验证码,否则,必须实施IP策略。 注意不要被X-Forwaded-For绕过了!

  2. 验证码只能用一次,用完立即过期!不能再次使用

  3. 验证码不要太弱。扭曲、变形、干扰线条、干扰背景色、变换字体等。

  4. 大网站最好统一安全验证码,各处使用同一个验证码接口。

暴力猜解

简介

暴力猜解简单来说就是将密码进行逐个推算,直到找出真正的密码为止。

C/S架构暴力猜解

C/S即客户端/服务器,基于C/S架构的应用程序 如 ssh ftp sql-server mysql 等,这些服务往往提供一个高权限的用户,而这个高权限的用户往往可以进行执行命令的操作,如 sql-server 的 sa ,mysql的root,oracle的sys和system帐号,使用这些高权限的用户能在很大程度上给开发人员带来方便,但如果口令被破解带来的危害也是相当大的。

C/S架构主要使用的破解工具 Hydra(几乎支持所有协议,kali)、Bruter(不要用中文路径)、X-scan

<pre spellcheck="false" class="md-fences md-end-block ty-contain-cm modeLoaded" lang="" cid="n59" mdtype="fences" style="box-sizing: border-box; overflow: visible; font-family: var(--monospace); font-size: 0.9em; display: block; break-inside: avoid; text-align: left; white-space: normal; background-image: inherit; background-position: inherit; background-size: inherit; background-repeat: inherit; background-attachment: inherit; background-origin: inherit; background-clip: inherit; background-color: rgb(248, 248, 248); position: relative !important; border: 1px solid rgb(231, 234, 237); border-radius: 3px; padding: 8px 4px 6px; margin-bottom: 15px; margin-top: 15px; width: inherit; color: rgb(51, 51, 51); font-style: normal; font-variant-ligatures: normal; font-variant-caps: normal; font-weight: 400; letter-spacing: normal; orphans: 2; text-indent: 0px; text-transform: none; widows: 2; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration-style: initial; text-decoration-color: initial;">hydra [[[-l LOGIN|-L FILE] [-p PASS|-P FILE]] | [-C FILE]] [-e ns]
[-o FILE] [-t TASKS] [-M FILE [-T TASKS]] [-w TIME] [-f] [-s PORT] [-S] [-vV] server service [OPT]
-R 继续从上一次进度接着破解。
-S 采用SSL链接。
-s PORT 可通过这个参数指定非默认端口。
-l LOGIN 指定破解的用户,对特定用户破解。
-L FILE 指定用户名字典。
-p PASS 小写,指定密码破解,少用,一般是采用密码字典。
-P FILE 大写,指定密码字典。
-e ns 可选选项,n:空密码试探,s:使用指定用户和密码试探。
-C FILE 使用冒号分割格式,例如“登录名:密码”来代替-L/-P参数。
-M FILE 指定目标列表文件一行一条。
-o FILE 指定结果输出文件。
-f 在使用-M参数以后,找到第一对登录名或者密码的时候中止破解。
-t TASKS 同时运行的线程数,默认为16。
-w TIME 设置最大超时的时间,单位秒,默认是30s。
-v / -V 显示详细过程。
server 目标ip
service 指定服务名,支持的服务和协议:telnet ftp pop3[-ntlm] imap[-ntlm] smb smbnt http-{head|get} http-{get|post}-form http-proxy cisco cisco-enable vnc ldap2 ldap3 mssql mysql oracle-listener postgres nntp socks5 rexec rlogin pcnfs snmp rsh cvs svn icq sapr3 ssh smtp-auth[-ntlm] pcanywhere teamspeak sip vmauthd firebird ncp afp等等。
OPT 可选项</pre>

1.1.1 五、防范暴力猜解

防止暴力破解是非常简单的,无论是B/S架构或者是C/S架构,下面总结出以下几点。

1、密码的复杂性

毫无疑问,密码设置一定要复杂,这是最基本的,最低层的防线,密码设定一定要有策略:

①对于重要的应用,密码长度最低位8位数以上,尽量在8位数之16位数之间。

②绝不允许以自己的手机号码,邮箱等关键“特征”为密码。

③用户名与密码不能有任何联系,如用户名为“admin”,密码为 “admin888”。

④仅仅以上三点是不够的,比如说“12345678”、“222222222”、“11111111”这样的密码,长度够了,但是也极为危险,因为这些即为弱口令。这些密码一般都已经被收录到了攻击者的字典之中。所以就必须要增加密码的复杂性。比如以下方案:

·至少一个小写字母(a-z)

·至少一个大写字母(A-Z)

·至少一个数字(0-9)

·至少一个特殊字符(*&^%$#@!)

如果你感觉你的密码足够强大,就让攻击者去攻击几年吧,虽然这只是句玩笑,也说明了密码策略的重要性,密码复杂,不单单是对暴力破解有防范,也对其他的攻击有防范,例如MD5密码破解,你的密码足够复杂,CMD5解密也是比较难的。

2、验证码措施

验证码(CAPTCHA)是“Completely Automated Public Turing test to tell Computers and Humans Apart”(全自动区分计算机和人类的图灵测试)的缩写,是一种区分用户是计算机和人的公共全自动程序。

使用验证码可以有效的防止:恶意破解密码、刷票、论坛灌水等。可以说验证码最主要的是防范“机器人”,如图12-12所示,是一个用户注册页面,嵌入验证码之后可以有效的防止机器人注册(机器人在注册后通常会发布一些广告帖,违法贴)。

©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 213,864评论 6 494
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 91,175评论 3 387
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 159,401评论 0 349
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 57,170评论 1 286
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 66,276评论 6 385
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 50,364评论 1 292
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,401评论 3 412
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 38,179评论 0 269
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,604评论 1 306
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,902评论 2 328
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 39,070评论 1 341
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,751评论 4 337
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,380评论 3 319
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 31,077评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,312评论 1 267
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 46,924评论 2 365
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 43,957评论 2 351