DVWA之暴力破解攻击

所谓的暴力破解攻击就是攻击者无限次尝试用户名和密码，试图登录网站。如果攻击者无限次的尝试，肯定会把密码尝试出来，所以我们只能把代码写好，尽可能防止这种情况的发生。另外建议朋友们把密码设的复杂一些，这样就会给攻击者增加破解难度。

这个项目就带你了解暴力破解攻击的方法和原理。

项目简介：

DVWA (Dam Vulnerable Web Application)是用PHP+Mysql编写的一套用于常规WEB漏洞教学和检测的WEB脆弱性测试程序。包含了SQL注入、XSS、盲注、命令执行等常见的一些安全漏洞。

Burp Suite 是用于攻击web应用程序的集成平台。它包含了许多工具，并为这些工具设计了许多接口，以促进加快攻击应用程序的过程。所有的工具都共享一个能处理并显示HTTP 消息，持久性，认证，代理，日志，警报的一个强大的可扩展的框架。

该项目就需要用到DVWA、Burp Suite 来进行暴力破解攻击。

项目前期准备：

1）部署并设置dvwa

关于下载和部署dvwa的详细步骤，点击【DVWA之暴力破解攻击】即可查看了。

这里介绍一下dvwa系统的难度级别，由于它是一个专门的演练系统，因此针对不同的使用场景设计了4种攻击难度级别：

难度级别	说明
Low	低难度，系统未采取任何安全防御措施
Medium	中级难度，系统有一定的防御手段，但仍然可被利用
High	难度提升，有更强力的安全措施，但仍有可利用的弱点
Impossible	几乎没有任何可利用的漏洞，可用来当做对比的正确范本

登入系统后，点击DVWA Security选项即可看到设置页面。

难度等级

该项目主要教你难度等级为low和Medium的破解攻击，至于高难度的破解攻击，你可以自己动手去实现。

2）安装burpsuite

下载并启动burpsuite，启动之后如下：

启动之后

实现攻击：

1)暴力破解（难度等级为low）

2)漏洞利用（难度等级为Medium）

关于暴力破解用户名和登录密码、以及漏洞利用的详细开发文档以及步骤、代码，点击点击【DVWA之暴力破解攻击】即可查看，这里由于篇幅有限就不再叙述了。

总结：

通过该项目可以了解暴力破解的攻击方法，那么针对暴力破解我们该如何进行防御呢?

1、可以在登录界面使用验证码，因为验证码的随机性，可以抵挡大部分攻击者，但是验证码这个东西也有两面性，如果做得太low，会被攻击者编写脚本识别出来，如果做得太high，就会造成用户体验差，比如12306。

2、可以设置登录错误次数限制,超过这个次数就不能输入，比如各大网银。

3、设置一个足够复杂的密码。

最后：

如果你想学习更多信息安全，黑客的有趣项目，点击这里即可查看并学习了~