暴力破解登录密码(登录批量发包)
除了Fortify和Appscan之外,公司还有使用Burp Suit工具对项目代码进行安全测试,例如会对项目进行 暴力破解登录密码(登录批量发包),而项目中确实存在该漏洞,现已修复,在这里做总结如下:
1.1、攻击原理
正常登录请求验证通过,可以利用BurpSuit测试工具拦截该登录请求(即抓取了这个“登录请求数据包”),然后通过BurpSuit工具可以修改这个“登录请求数据包”的参数,即可以把HTTP请求里的某个单独的参数设置为变量,来进行替换,然后该工具会批量发送登录请求调用后台系统,因此可能会暴力破解到登录账户密码(即通过增加一个字典来实现自动化的攻击)。
图1.1.1 暴力破解登录密码案例
1.2、修复方案
之前之所以有漏洞问题是因为“滑动验证”和“帐号密码”是分开在不同的类和方法中验证的,暴力破解的时候可以绕过“滑动验证”直接调用“登录接口”进行登录帐号和密码的批量验证。
针对于此,修复该漏洞的过程如下:
1、将“滑动验证”整合到和“帐号密码”同一个方法中。因此,在发送校验帐号密码的请求中,还需要传递滑动验证的值作为参数进行校验;
2、在校验完该值后,要将session中的滑动验证值立即更新,这样,后面BurpSuit工具的批量发包请求带的滑动值就不能验证通过了,也就不会批量校验帐号和密码了。因为这时候每一个登录请求都是不同的滑动值,而暴力破解的时候,它复制过来的请求的滑动值是固定的。
图1.2.1 解决暴力破解登录密码实际代码
转载于:https://www.cnblogs.com/meInfo/p/9147650.html
暴力破解登录密码(登录批量发包)相关推荐
- Freebsd 下用 sshguard 防止暴力破解 ssh 密码
2019独角兽企业重金招聘Python工程师标准>>> 在 Freebsd 控制台或用 dmesg -a 查看系统消息的时候会发现类似于下面的大量信息,这是因为有人在尝试暴力破解 S ...
- 20220208--CTF MISC-- BUUCTF--二维码 1--binwalk-john-(工具的使用:分析文件/暴力破解压缩包密码)
MISC-- BUUCTF–二维码 1 这题首先下载文件,解压: 微信扫描了一下这个二维码,得到: secret is here 打开kali ,首先用binwalk分析该文件 命令: binkwal ...
- 如何在Windows平台用Java代码暴力破解WIFI密码
开始进入正题.在网上找了很多wifi破解工具,都是linux平台下用的,然后还不支持虚拟机装linux.因为很多笔记本装虚拟机都识别不了内置网卡.所以得把系统刻到U盘,然后用U盘启动.但是我现在穷得连 ...
- bat写暴力破解系统密码
bat写暴力破解系统密码 发表时间:2009-12-30 09:28:18 作者: 来源:红客联盟 收藏本页 原理: 1.字典:for /f %i in (字典文件) do net use 主机ipc ...
- 第八天 02.hydra暴力破解ssh密码以及ftp密码
hydra暴力破解ssh密码 实验环境: windows7 ,kali 实验步骤: windows进入hydra目录 cd 命令 使用命令爆破SSH hydra -l 用户名 -p 密码字典 ss ...
- 使用Medusa美杜莎暴力破解SSH密码
使用Medusa美杜莎暴力破解SSH密码 1.Medusa简介 Medusa(美杜莎)是一个速度快,支持大规模并行,模块化的爆力破解工具.可以同时对多个主机,用户或密码执行强力测试.Medusa和hy ...
- 教你如何暴力破解wifii密码
使用kali linux系统进行wifi暴力破解获取密码 注意:私自破解他人WiFi属于违法行为,本教程仅供学习与参考. 破解工具 破解工具:kali linux系统 ,本教程使用的装在物理机的lin ...
- Kali使用Aircrack-ng进行暴力破解WIFI密码
Kali系统使用Aircrack-ng进行暴力破解WIFI密码 一.什么是Aircrack-ng 运行环境 插入网卡设备 二.破解流程 1.进入管理员模式 2.查看网卡信息 3.杀掉冲突进程 4.查看 ...
- 1-10 Burpsuite 暴力破解用户密码
暴力破解用户密码 针对用户名和密码的破解,可以有以下方式: 1.已知用户名,未知密码. 针对已知的用户名,对未知密码进行破解 2.用户名和密码都未知. 用户名和密码都不能指定,有两个变量 3.已知密码 ...
- python暴力破解压缩包密码(python暴力破解zip压缩包)
python暴力破解压缩包密码 简介 简介: ZIP文件格式是一种数据压缩和文档储存的文件格式,原名Deflate,发明者为菲尔·卡茨(Phil Katz),他于1989年1月公布了该格式的资料.ZI ...
最新文章
- JavaScript的函数
- IIS8 使用FastCGI配置PHP环境支持 过程详解
- 【收藏】GeoMesa Spark
- 二分搜索 HDOJ 2289 Cup
- office deployment tool_工具 | 分享一个小利器,从此 Office 快速打开不是事
- python requests下载图片_Python使用urllib库、requests库下载图片的方法比较
- shell_study
- 【rqnoj 74】24点
- 【STM32+cubemx】0013 HAL库开发:SPI总线访问气压计BMP280/BME280
- Windows系统 clac命令详解,Windows系统使用命令行打开计算器
- win11虚拟桌面如何使用 Windows11虚拟桌面的使用方法
- Jetpack Compose Modifier 使用入门
- 建木持续集成平台v2.2.1发布
- 甘肃省天水市计算机培训班,甘肃天水秦州区文化馆举办首期天水传统菜培训班...
- 汇承4.0蓝牙BLE串口助手HC-COM的使用方法及出错的原因和改正方法
- 2019级吉林大学计软实验题目解析
- Bibilibili 1024程序员节 CTF 启蒙
- Silvaco 学习笔记——solar(太阳能电池标准分析)
- VB编程:Timer控件实例幼儿识字卡片-35_彭世瑜_新浪博客
- Codeforces1478 B. Nezzar and Lucky Number(推导)