看好你的门-验证机制被攻击(3)-智能化的蛮力攻击登陆
来源:互联网 发布:电脑电子书阅读软件 编辑:程序博客网 时间:2024/05/17 07:17
首先需要声明,本文纯属一个毫无远见和真才实学的小小开发人员的愚昧见解,仅供用于web系统安全方面的参考。
1、 简单说明
登陆功能的公开性,让无数的攻击者都试图猜测用户名和密码,从而获得未授权访问系统的权利。
作为系统的使用者,必须让自己的系统更加健壮,以应对狡猾的攻击者。
作为攻击者,需要去观察系统的各种细节情况,获得贴近实际的信息。
2、 智能化的蛮力攻击登陆步骤
我们首先需要有一个弱密码的系统,这样才可以去尝试蛮力攻击。
1. 用自己的某个合法账号进行尝试;比如提交几次错误的登陆,看收到什么样的返回信息;
2. 如果在3-5次错误登陆之后,还可以正确登陆。说不定系统没有账号锁定的策略,这种系统是进行常规蛮力攻击登陆的良好标的;
3. 如果账号被锁定,可以对不同账户进行轮询登陆;
4. 如果账号被锁定,利用合法账号进行有效密码提交,观察与无效账号的返回信息是否有差异;
如果没有合法的账号,那么先获取一个有效的用户名;
获取用户名非常容易,最经典的一个方法:
可以直接站人家后面看输入的用户名。 :)
如果存在账户锁定的可能性,那么对多个账户进行广度优先,而不是进行深度优先。
0 0
- 看好你的门-验证机制被攻击(3)-智能化的蛮力攻击登陆
- 看好你的门-验证机制被攻击(2)-JAVA蛮力攻击登陆
- 看好你的门-确保验证机制的安全(4)-防止蛮力攻击登陆
- 看好你的门-确保验证机制的安全(4)-防止蛮力攻击登陆
- 看好你的门-验证机制被攻击(1)-保密性不强的密码
- 看好你的门-验证机制被攻击(5)-“记住我”功能的常见漏洞
- 看好你的门-验证机制被攻击(7)-可预测的用户名和密码
- 看好你的门-验证机制被攻击(8)-证书或者敏感信息的分配
- 看好你的门-验证机制被攻击(9)-不严谨的异常处理
- 看好你的门-验证机制被攻击(10)-不够安全的敏感信息存储
- 看好你的门-验证机制被攻击(4)-密码修改、重置功能常见漏洞
- 看好你的门-验证机制被攻击(6)-用户角色变更系统漏洞
- 看好你的门-验证机制被攻击(1)附录-中国人可能最常用账号情况
- 看好你的门-攻击数据存储区(1)-SQL拼接被避开登陆
- 看好你的门-攻击服务端(3)-SOAP注入攻击
- 看好你的门-确保验证机制的安全(3)-正确处理验证信息
- 看好你的门-确保验证机制的安全(3)-正确处理验证信息
- 看好你的门-攻击数据存储区(3)-攻击PreparedStatement的执行
- 大型网站的灵魂——性能
- PAT A1031. Hello World for U
- 使用Get方式传递中文参数的问题乱码问题!
- Android自学笔记(3)
- myeclipse 2013中没有servlet源码的解决方案
- 看好你的门-验证机制被攻击(3)-智能化的蛮力攻击登陆
- JAVA基础抽象类和接口怎么用
- 浅谈"对抗搜索"的alpha-beta 剪枝
- DM里的K均值算法
- C程序内存相关知识点
- __asm__ __volatile__内嵌汇编用法简述
- 错误:The method replace(int, Fragment) in the type FragmentTransaction is not applicable for the argum
- Java中的private、protected、public和default的区别
- 20 Books Everyone Should Read Before Age 40