Web安全-口令破解

前言

口令破解是一种对应用认证系统的攻击手段，在web攻击中，一般会使用这种手段对账号登录系统进行破解。其过程就是使用大量的认证信息在认证接口进行尝试登录，直到得到正确的结果。为了提高效率，暴力破解一般会使用带有字典的工具来进行自动化操作

口令攻击分类

基于穷举的攻击

简述：所有符合规则的认证信息，进行攻击。假设密码组成规则是6位26个字母、数字的组合。那么我们知道密码的组合数量有56800235584(约568亿）。公式为 n r n^r nr, n为可用字符，r为组合的位数， 6 2 6 62^6 626。设每秒认证一条，568亿需要1801年。如果是字母、数字、符号的8~16位组合，则数量会更多
优点：可靠。理论上时间允许，就可以破解
缺点：效率低

基于字典的攻击

简述：使用符合规则的一部分认证信息，进行攻击。如弱口令TOP、基于社工，使用名字、生日、手机号码生成的口令字典。这里要注意的一点是要过滤掉不符合认证系统规则的密码，如目标的密码组成是8位，应该要过滤掉8位以下的密码
优点：效率高
缺点：攻击成败，取决于字典的好坏

防御措施

设置高强度密码
例如 8位~16位，字母+数字+特殊符号(-_!@),8位组合的数量就高达上万亿。但是数据库被入侵会泄露
双因素认证
静态密码+一次性动态密码，如账号密码验证成功后，再使用手机号验证码。这里的验证码有被截获的风险，如伪基站、手机木马、钓鱼网站
增加验证码
在规定时间内认证次数过多，增加动态验证码。如在5秒内认证了2次，增加验证码，参考慕课网
密码锁定策略
在规定时间内认证次数过多，锁定账号，规定时间内不得再认证。如在10秒内认证了5次，锁定5分钟，参考手机的锁屏密码

总结

密码越简单，验证环节越少，攻击越容易

攻击实验

工具：Burp suite渗透测试工具
环境：Firefox浏览器, Pikachu漏洞靶场
前期准备：开启Burp suite代理，设置浏览器 Burp suite的代理，部署Pikachu漏洞靶场

穷举攻击

打开Pikachu > 暴力破解 > 基于表单的暴力破解
填写正确的账号，随意填写密码，点击按钮提交
截获代理，发送到攻击器那里

4. 设置攻击配置
最后，看返回的信息查看是否成功

字典攻击

0.寻找字典：弱口令TOP 、社工生成、Crunch-口令生成器

1-3步和穷举攻击一样，将第四步改成

参考资料

百度百科-重复排列
pikachu漏洞靶场
口令生成-社工
Crunch-口令生成器
BrupSuite使用