暴力破解密码 网站安全-浅谈用户密码暴力破解

在网站安全方面，用户密码被暴力破解，尤其是网站的用户登录页面和后台管理登录页面，受到攻击者的攻击。常见的网站攻击包括SQL语句注入攻击、密码弱密码攻击、用户密码蛮力攻击、跨站点攻击XSS等。今天我来讲解一些常用的关于网站密码蛮力破解的攻击技巧，让我们认识自己，认识自己。

网站用户登录页面包含三个主要页面功能:用户名、用户密码、登录验证码。我们从最简单的角度分析网站用户密码是如何破解的。先获取用户名，那么用户名应该从哪里获取呢？一般通过阅读登录提示，如提示用户名不存在、网站新闻、公告中的顶级作者姓名等，通过网站域名搜索管理员的相关信息，使用注册的邮箱名或管理员姓名破解用户名。然后猜测用户名的密码。攻击者手里通常有常用的密码字典，如123456、123456789、97654321等，是由数字和字母组合而成的密码攻击字典，依靠这些字典对用户密码进行暴力破解。

还有验证码绕过攻击，可以通过识别常用验证码并刷新不重复的验证码，通过GET和POST分析验证码的特征，或者通过自动识别并自动填写验证码软件暴力破解用户密码，直接绕过。

这里我们了解一下网站数据传输方式的攻击特征，分为两个特征:

网站登录页面没有认证，只有用户名和密码，没有验证码链接，没有用户登录错误提示，这是攻击者最喜欢的，这样服务器就可以强破解密码，一般短时间内就能破解密码。其他人使用明文传输方法和工具，如自带密码字典的BurpSuite。

网站攻击的JS加密传输方式。现在大多数网站在用户登录时只使用JS加密，将密码加密成MD5复杂密码公式，然后发送到网站后端即服务器进行验证解密，然后判断密码是否与数据库中的用户密码对应。像这样的JS加密增加了攻击者破解的难度。大多数网站只使用加密模式、MD5密码加密模式和SHAL密码加密模式。常用的是MD5的加密方式。攻击者通常会编写一段由JS解密的代码来破解用户密码，或者编写pytho脚本来破解密码。