除了Fortify和Appscan之外,公司还有使用Burp Suit工具对项目代码进行安全测试,例如会对项目进行 暴力破解登录密码(登录批量发包),而项目中确实存在该漏洞,现已修复,在这里做总结如下:

1.1、攻击原理

  正常登录请求验证通过,可以利用BurpSuit测试工具拦截该登录请求(即抓取了这个“登录请求数据包”),然后通过BurpSuit工具可以修改这个“登录请求数据包”的参数,即可以把HTTP请求里的某个单独的参数设置为变量,来进行替换,然后该工具会批量发送登录请求调用后台系统,因此可能会暴力破解到登录账户密码(即通过增加一个字典来实现自动化的攻击)。

图1.1.1  暴力破解登录密码案例

1.2、修复方案

  之前之所以有漏洞问题是因为“滑动验证”和“帐号密码”是分开在不同的类和方法中验证的,暴力破解的时候可以绕过“滑动验证”直接调用“登录接口”进行登录帐号和密码的批量验证。

  针对于此,修复该漏洞的过程如下:

  1、将“滑动验证”整合到和“帐号密码”同一个方法中。因此,在发送校验帐号密码的请求中,还需要传递滑动验证的值作为参数进行校验;

  2、在校验完该值后,要将session中的滑动验证值立即更新,这样,后面BurpSuit工具的批量发包请求带的滑动值就不能验证通过了,也就不会批量校验帐号和密码了。因为这时候每一个登录请求都是不同的滑动值,而暴力破解的时候,它复制过来的请求的滑动值是固定的。 

图1.2.1  解决暴力破解登录密码实际代码

转载于:https://www.cnblogs.com/meInfo/p/9147650.html

暴力破解登录密码(登录批量发包)相关推荐

  1. Freebsd 下用 sshguard 防止暴力破解 ssh 密码

    2019独角兽企业重金招聘Python工程师标准>>> 在 Freebsd 控制台或用 dmesg -a 查看系统消息的时候会发现类似于下面的大量信息,这是因为有人在尝试暴力破解 S ...

  2. 20220208--CTF MISC-- BUUCTF--二维码 1--binwalk-john-(工具的使用:分析文件/暴力破解压缩包密码)

    MISC-- BUUCTF–二维码 1 这题首先下载文件,解压: 微信扫描了一下这个二维码,得到: secret is here 打开kali ,首先用binwalk分析该文件 命令: binkwal ...

  3. 如何在Windows平台用Java代码暴力破解WIFI密码

    开始进入正题.在网上找了很多wifi破解工具,都是linux平台下用的,然后还不支持虚拟机装linux.因为很多笔记本装虚拟机都识别不了内置网卡.所以得把系统刻到U盘,然后用U盘启动.但是我现在穷得连 ...

  4. bat写暴力破解系统密码

    bat写暴力破解系统密码 发表时间:2009-12-30 09:28:18 作者: 来源:红客联盟 收藏本页 原理: 1.字典:for /f %i in (字典文件) do net use 主机ipc ...

  5. 第八天 02.hydra暴力破解ssh密码以及ftp密码

    hydra暴力破解ssh密码 实验环境: ​ windows7 ,kali 实验步骤: windows进入hydra目录 cd 命令 使用命令爆破SSH hydra -l 用户名 -p 密码字典 ss ...

  6. 使用Medusa美杜莎暴力破解SSH密码

    使用Medusa美杜莎暴力破解SSH密码 1.Medusa简介 Medusa(美杜莎)是一个速度快,支持大规模并行,模块化的爆力破解工具.可以同时对多个主机,用户或密码执行强力测试.Medusa和hy ...

  7. 教你如何暴力破解wifii密码

    使用kali linux系统进行wifi暴力破解获取密码 注意:私自破解他人WiFi属于违法行为,本教程仅供学习与参考. 破解工具 破解工具:kali linux系统 ,本教程使用的装在物理机的lin ...

  8. Kali使用Aircrack-ng进行暴力破解WIFI密码

    Kali系统使用Aircrack-ng进行暴力破解WIFI密码 一.什么是Aircrack-ng 运行环境 插入网卡设备 二.破解流程 1.进入管理员模式 2.查看网卡信息 3.杀掉冲突进程 4.查看 ...

  9. 1-10 Burpsuite 暴力破解用户密码

    暴力破解用户密码 针对用户名和密码的破解,可以有以下方式: 1.已知用户名,未知密码. 针对已知的用户名,对未知密码进行破解 2.用户名和密码都未知. 用户名和密码都不能指定,有两个变量 3.已知密码 ...

  10. python暴力破解压缩包密码(python暴力破解zip压缩包)

    python暴力破解压缩包密码 简介 简介: ZIP文件格式是一种数据压缩和文档储存的文件格式,原名Deflate,发明者为菲尔·卡茨(Phil Katz),他于1989年1月公布了该格式的资料.ZI ...

最新文章

  1. JavaScript的函数
  2. IIS8 使用FastCGI配置PHP环境支持 过程详解
  3. 【收藏】GeoMesa Spark
  4. 二分搜索 HDOJ 2289 Cup
  5. office deployment tool_工具 | 分享一个小利器,从此 Office 快速打开不是事
  6. python requests下载图片_Python使用urllib库、requests库下载图片的方法比较
  7. shell_study
  8. 【rqnoj 74】24点
  9. 【STM32+cubemx】0013 HAL库开发:SPI总线访问气压计BMP280/BME280
  10. Windows系统 clac命令详解,Windows系统使用命令行打开计算器
  11. win11虚拟桌面如何使用 Windows11虚拟桌面的使用方法
  12. Jetpack Compose Modifier 使用入门
  13. 建木持续集成平台v2.2.1发布
  14. 甘肃省天水市计算机培训班,甘肃天水秦州区文化馆举办首期天水传统菜培训班...
  15. 汇承4.0蓝牙BLE串口助手HC-COM的使用方法及出错的原因和改正方法
  16. 2019级吉林大学计软实验题目解析
  17. Bibilibili 1024程序员节 CTF 启蒙
  18. Silvaco 学习笔记——solar(太阳能电池标准分析)
  19. VB编程:Timer控件实例幼儿识字卡片-35_彭世瑜_新浪博客
  20. Codeforces1478 B. Nezzar and Lucky Number(推导)

热门文章

  1. 疫情期各类数据图表背后的七个方法、三驾马车与一个工具
  2. eventlet如何绿化pyserial最好
  3. 5.20软件构造心得
  4. Mac中IDEA的工具栏隐藏显示的解决方法
  5. 佳能7款PL卡口电影镜头发布在即
  6. 采用IMXRT1020驱动ATWINC1500模块
  7. DotNetTextBox V3.0 所见即所得编辑器控件Ver3.4.0 FreeVersion(新增商业试用版下载)
  8. 农历版的FullCalendar插件
  9. kali linux安装wps教程
  10. VI设计通过企业文化传播企业VI设计视觉感受