常见WEB漏洞----暴力破解

什么是暴力破解

暴力破解 (Brue Force) 是一种攻击方法 (穷举法),简称为"爆破",黑客通过反复猜解和实验,旨在以暴力手段登入、访问目标主机获取服务,破坏系统安全,其属于 ATT&CK技术中的一种,常利用猜测、破解、喷洒、撞库四种子技术实现,经常作为其他漏洞攻击的载体

四项技术

密码猜测

在不了解系统环境的情况下,攻击者通过常见密码字典来猜测密码,并尝试登录

密码破解

在获取到加密的凭证材料 (Hash值) 后,将凭据恢复为纯文本密码

密码喷酒

使用少量密码或常见的密码列表,获取有效账户凭据

撞库

通过收集历史泄露数据以获得凭据 (数据库) ,利用自动化工具尝试登录到其他网站

两种方式

远程通讯法

确定攻击目标,使用暴力枝举等方武获取可供登录的账号,再通过字典或特定规则生成测试密码,以多进程的方式建立通信,发送并检测是否通过

本地破解法

把获取到的加密密码保存到本地。再将本地生成的账号和密码以同样的算法加密并进行比对

漏洞原理

理论上,大多数的系统都是可以暴力破解的,在日益增长的互联网网站基数下web网站没有采用,或者采用了较弱的安全策略认证机制,导致密码很可能被猜出。攻击者通过计算机强大的计算能力,对字典中的内容逐一尝试,直至匹配到正确的口令或密码。即使是新手也可以破坏数据并削弱大公司的系统。

产生原因

人为因素的影响,服务器端未采取完备的认证机制。

暴力破解工具

Hydra是一个并行登录破解程序,支持多种协议攻击。使用简单快捷,且易于添加新模块它支持:FTP,HTTPS,IMAP,LDAP,MySOL,SMTP,SOCKS5,SSH(v1和v2), SSHKEY,Telnet.VMware-Auth、XMPP等多种协议和服务的破解

暴力破解目标

目标:子域名、加密算法、用户名和密码、API密钥或令牌、文字或图形验证码、网站目录

常见的防御策略

一、使用强密码

让用户注册的密码满足一定的复杂度要求,同时保证用户更改密码不应。是最近使用过的密码。增大黑客破解密码的难度。

二、错误次数限制

限定用户的密码错误输入次数,在达到限定次数后锁定登录入口,需要管理员解锁。

三、双重验证

双重认证 (2FA) 即通过私密信息个人物品和生理特征其中两项因素来验证用户的身份。

四、密码期限

对密码的使用期限做限制,使密码的最长期限小于密码算法暴力破解所需的最短时间。

暴力破解的危害

1.数据泄露

成功的暴力破解攻击可能导致用户账户、敏感信息、个人资料和机密数据的泄露,就曾遭遇过撞库攻击,导致大量账户信息泄露。

2.信任危机

攻击者通过获取到的凭证登录用户,发布虚假信息,窃取资金,导致用户对网站的信用度降低。

3.服务中断

大规模的暴力破解会使系统,应用程序和网络负载过重,严重时导致服务中断,导致DOS或DDOS攻击

相关推荐
qq_430908573 小时前
网络安全-机遇与挑战
安全
希望奇迹很安静3 小时前
SSRF_XXE_RCE_反序列化学习
学习·web安全·ctf·渗透测试学习
程序员编程指南5 小时前
Qt 网络编程进阶:网络安全与加密
c语言·网络·c++·qt·web安全
Johny_Zhao6 小时前
Centos8搭建hadoop高可用集群
linux·hadoop·python·网络安全·信息安全·云计算·shell·yum源·系统运维·itsm
计算机sci论文精选8 小时前
CVPR 前沿洞察 | 人机交互论文出圈,引领交互模式变革
计算机网络·机器学习·机器人·人机交互·cvpr·计算机系统·并行与分布计算
安 当 加 密9 小时前
守护汽车“空中升级“:基于HSM/KMS的安全OTA固件签名与验证方案
安全·汽车
大咖分享课17 小时前
多租户系统中的安全隔离机制设计
人工智能·安全·安全隔离
荔枝吻17 小时前
软件异常读写威胁硬盘安全:从过往案例到防护之道
安全·硬盘
小马爱打代码17 小时前
Spring Boot 接口安全设计:接口限流、防重放攻击、签名验证
网络·spring boot·安全
北极光SD-WAN组网20 小时前
工业互联网时代,如何通过混合SD-WAN提升煤炭行业智能化网络安全
网络·安全·web安全