Seguridad del código de verificación y descifrado por fuerza bruta
Craqueo por fuerza bruta: el craqueo por fuerza bruta simplemente significa probar las contraseñas una por una hasta encontrar la contraseña correcta.
Craqueo por fuerza bruta: es una herramienta de ataque en ataques web, este método. se utiliza generalmente para obtener la información de autenticación del sistema de aplicación. El proceso consiste en utilizar una gran cantidad de información de autenticación para intentar iniciar sesión en la interfaz de autenticación hasta obtener el resultado correcto. Para mejorar la eficiencia, el craqueo por fuerza bruta generalmente utiliza herramientas con diccionarios para realizar operaciones automatizadas
Vulnerabilidad del craqueo por fuerza bruta: si un sistema de aplicación web no adopta o adopta una política de seguridad de autenticación relativamente débil, será fuerza bruta La "posibilidad" de craqueo se ha vuelto relativamente alta
Preparación antes del craqueo por fuerza bruta:
1. La política de seguridad de autenticación del sistema web:
Si se requiere que el usuario establezca una contraseña compleja;
¿Se debe utilizar un código de verificación seguro para cada autenticación?
Si se debe juzgar y restringir el comportamiento de los intentos de inicio de sesión (por ejemplo: 5 inicios de sesión incorrectos consecutivos, bloquear la cuenta o bloquear la dirección IP, etc.)
Si se utiliza la autenticación de dos factores
Si el proceso de autenticación contiene información del token
2. Preparación de la herramienta: prepare herramientas adecuadas para el craqueo por fuerza bruta y un diccionario útil
Tres puntos clave:
1. Regístrese en el sitio web de destino y comprenda algunas restricciones sobre las contraseñas de las cuentas. Por ejemplo, el sitio web de destino requiere que la contraseña tenga 8 dígitos. Para las combinaciones alfanuméricas anteriores, puede optimizar el diccionario de acuerdo con esto, como eliminar contraseñas que no cumplan con los requisitos.
2. La web. Es más probable que la contraseña de la interfaz de administración use la cuenta admin/administrador/root, puede usar estos tres Use cualquier diccionario de contraseñas para que la cuenta realice un descifrado por fuerza bruta
3. Durante el proceso de descifrado, debe pagar Preste atención a las indicaciones si hay indicaciones relacionadas, como "nombre de usuario o contraseña incorrectos", "contraseña incorrecta", "el nombre de usuario no existe", etc., se puede utilizar más
Cracking por fuerza bruta. clasificación:
Modo B/S: el proceso de autenticación del modo servidor del navegador se implementa mediante el protocolo http, por lo que se puede descifrar con la herramienta de captura de paquetes burpsuite.
p>1. Crack de autenticación sin código de verificación: puede usar burpsuite directamente para agregar un diccionario de contraseñas para descifrar
2. Crack de autenticación con código de verificación: si se trata de verificación frontal, puede usar burpsuite para capturar paquetes omita la verificación código para descifrar por fuerza bruta Si se trata de una verificación de fondo, puede utilizar una herramienta de explosión (como pkav) y un reconocedor de código de verificación externo para descifrar por fuerza bruta. (Si el código de verificación no se destruye inmediatamente durante el proceso de verificación en segundo plano, este código de verificación se puede usar durante 24 minutos)
3. Crack de autenticación con información de token: (El token es una cadena de caracteres generada por el servidor, que termina en Como token utilizado por el cliente para realizar solicitudes, el cliente trae el token para representar el derecho a realizar ciertas operaciones) La información del token es diferente cada vez, y burpsuite necesita sacar el token devuelto por el servidor y úselo para la siguiente solicitud.
Modo C/S: el proceso de autenticación del modo cliente-servidor se implementa mediante múltiples protocolos, por lo que es necesario utilizar herramientas de craqueo integradas especiales para descifrar, como Hydra, Bruter, X-scan.
Herramientas:
Bruter: herramienta para descifrar contraseñas por fuerza bruta
Hydra: Hydra es una herramienta de código abierto para descifrar contraseñas por fuerza bruta de la famosa organización de hackers thc. Admite múltiples protocolos. y se puede utilizar en línea. Descifre múltiples contraseñas de aplicaciones.
Prevención del cracking por fuerza bruta: aumente la política de seguridad de autenticación del sistema web
Requerir que los usuarios establezcan contraseñas complejas
Utilizar un código de verificación seguro para cada autenticación
p>Juzgar y limitar los intentos de iniciar sesión
Usar autenticación de dos factores
El proceso de autenticación contiene información del token
Código de verificación seguridad:
p>Es un programa completamente automático que distingue si el usuario es una computadora o un ser humano. Puede prevenir: descifrado de contraseñas por fuerza bruta, fraude de tickets e inundación de foros. Puede evitar eficazmente que los piratas informáticos descifren por fuerza bruta las contraseñas de usuarios específicos.
Categorías de códigos de verificación:
Código de verificación de animación Gif
Código de verificación de SMS de teléfono móvil
Código de verificación de voz de teléfono móvil
Código de verificación por vídeo
Problemas de seguridad comunes del código de verificación:
Problemas con el cliente
Problemas con el servidor
Verificación basada en token
El código de verificación es demasiado simple y las máquinas pueden reconocerlo fácilmente
Rompiendo el código de verificación
Protección de seguridad del código de verificación:
1) Entrada de código de verificación obligatoria; de lo contrario, se deben implementar políticas de IP. ¡Tenga cuidado de no dejarse pasar por X-Forwaded-For!
2) ¡El código de verificación solo se puede usar una vez y caducará inmediatamente! No se puede volver a utilizar
3) El código de verificación no debe ser demasiado débil. Distorsionar, deformar, interferir con líneas, interferir con colores de fondo, cambiar fuentes, etc.
4) Es mejor que los sitios web grandes unifiquen los códigos de verificación de seguridad y utilicen la misma interfaz de código de verificación en todas partes.
Punto de idea: también puede estar familiarizado con el proceso comercial de autenticación cuando es bruto forzar el descifrado y el descifrado de seguridad del código de verificación, y tratar de encontrar lagunas en la lógica empresarial en el proceso empresarial.
Contraseña débil: es un tipo de vulnerabilidad de descifrado por fuerza bruta. La interfaz de autenticación web utiliza nombres de usuario y contraseñas comunes o más simples, lo que facilita el descifrado por fuerza bruta.