在网站安全方面,用户密码被暴力破解,尤其是网站的用户登录页面和后台管理登录页面,受到攻击者的攻击。常见的网站攻击包括SQL语句注入攻击、密码弱密码攻击、用户密码蛮力攻击、跨站点攻击XSS等。今天我来讲解一些常用的关于网站密码蛮力破解的攻击技巧,让我们认识自己,认识自己。

网站用户登录页面包含三个主要页面功能:用户名、用户密码、登录验证码。我们从最简单的角度分析网站用户密码是如何破解的。先获取用户名,那么用户名应该从哪里获取呢?一般通过阅读登录提示,如提示用户名不存在、网站新闻、公告中的顶级作者姓名等,通过网站域名搜索管理员的相关信息,使用注册的邮箱名或管理员姓名破解用户名。然后猜测用户名的密码。攻击者手里通常有常用的密码字典,如123456、123456789、97654321等,是由数字和字母组合而成的密码攻击字典,依靠这些字典对用户密码进行暴力破解。

还有验证码绕过攻击,可以通过识别常用验证码并刷新不重复的验证码,通过GET和POST分析验证码的特征,或者通过自动识别并自动填写验证码软件暴力破解用户密码,直接绕过。

这里我们了解一下网站数据传输方式的攻击特征,分为两个特征:

网站登录页面没有认证,只有用户名和密码,没有验证码链接,没有用户登录错误提示,这是攻击者最喜欢的,这样服务器就可以强破解密码,一般短时间内就能破解密码。其他人使用明文传输方法和工具,如自带密码字典的BurpSuite。

网站攻击的JS加密传输方式。现在大多数网站在用户登录时只使用JS加密,将密码加密成MD5复杂密码公式,然后发送到网站后端即服务器进行验证解密,然后判断密码是否与数据库中的用户密码对应。像这样的JS加密增加了攻击者破解的难度。大多数网站只使用加密模式、MD5密码加密模式和SHAL密码加密模式。常用的是MD5的加密方式。攻击者通常会编写一段由JS解密的代码来破解用户密码,或者编写pytho脚本来破解密码。

1.《暴力破解密码 网站安全-浅谈用户密码暴力破解》援引自互联网,旨在传递更多网络信息知识,仅代表作者本人观点,与本网站无关,侵删请联系页脚下方联系方式。

2.《暴力破解密码 网站安全-浅谈用户密码暴力破解》仅供读者参考,本网站未对该内容进行证实,对其原创性、真实性、完整性、及时性不作任何保证。

3.文章转载时请保留本站内容来源地址,https://www.lu-xu.com/yule/1700807.html