随着网络环境变得越来复杂,Web应用程序开始使用认证(authentication)机制。我们在访问一些重要的Web应用程序时,例如通过在线银行查看存款时,在线银行都需要先确认用户的身份。
目前互联网上的大部分Web应用程序都通过用户名和密码的方式来完成认证,用户的密码是由用户自己设定的。用户在使用通过网络提供的服务时输入正确的密码,Web应用程序就认为操作者是合法用户。认证机制及针对其的攻击手段一直都处在动态的发展过程中,开发人员不断地设计出更安全的认证机制,渗透测试者也在不断地找出破解手段。
对DVWA认证模式进行攻击的方法有两种。一是重放攻击,由于从作为客户端的浏览器发出的请求,在到达服务器之前,可能在任意一个环节被监听截获,因此能否抵御重放攻击,是服务器的重要安全指标;二是字典攻击,网络攻击者会使用各种可能的字符组合来尝试登录,以此来找出准确的登录用户名和密码。
1、DVWA认证的实现
当我们通过互联网访问网络上的资源时,往往会被要求先通过系统认证。例如,下图给出了DVWA登录的界面。
在这个页面中输入正确的用户名和密码(如admin和password),就可以登录DVWA。一共有三个角色参与这个过程。
- 用户输入用户名和密码,并单击Login按键提交数据。
- 浏览器将用户名和密码等信息封装成HTTP数据包并提交给Web服务器。
- Web服务器解析收到的HTTP数据包,并将其中的用户名与密码与数据库中的信息进行比对,如果匹配,则返回认证成功;如果不匹配,则返回认证失败。