暴力破解
暴力破解:连续性尝试+自动化+字典
在暴力破解中非常重要的是一本有效的字典
1.看这个网站是否设计了验证。
1.比如是否每次认证都使用了安全的验证码:
在验证码里面的话是否设置了验证码的过期时间,是否设置了验证码在网页刷新一次就改变
2.是否对尝试登陆的行为进行了判段和限制
3.是否在必要的时候采用了双因素认证
。。。。
2.验证码绕过问题。
1.验证码绕过 on client.
网页生成验证码和验证全部在前端js里面进行。
像这种是非常容易被绕过,我们在网页发送一个数据包的时候使用burpsuite
拦截,直接修改里面的验证码发现我们还是可以成功,也就是说这种没有在后台进行拦截,所以我们直接使用暴力破解,这个验证码形同虚设。
这里我们使用一个正确的验证码,提示账号或密码错误
我们用burpsuite把这个包修改验证码同样
2.验证码绕过 on server
验证码在后台不过期,导致可以长期使用。
验证码校验不严格,逻辑出现问题。