DVWA之暴力破解攻击

所谓的暴力破解攻击就是攻击者无限次尝试用户名和密码,试图登录网站。如果攻击者无限次的尝试,肯定会把密码尝试出来,所以我们只能把代码写好,尽可能防止这种情况的发生。另外建议朋友们把密码设的复杂一些,这样就会给攻击者增加破解难度。

这个项目就带你了解暴力破解攻击的方法和原理。

项目简介:

DVWA (Dam Vulnerable Web Application)是用PHP+Mysql编写的一套用于常规WEB漏洞教学和检测的WEB脆弱性测试程序。包含了SQL注入、XSS、盲注、命令执行等常见的一些安全漏洞。

Burp Suite 是用于攻击web应用程序的集成平台。它包含了许多工具,并为这些工具设计了许多接口,以促进加快攻击应用程序的过程。所有的工具都共享一个能处理并显示HTTP 消息,持久性,认证,代理,日志,警报的一个强大的可扩展的框架。

该项目就需要用到DVWA、Burp Suite 来进行暴力破解攻击。

项目前期准备:

1)部署并设置dvwa

关于下载和部署dvwa的详细步骤,点击【DVWA之暴力破解攻击】即可查看了。

这里介绍一下dvwa系统的难度级别,由于它是一个专门的演练系统,因此针对不同的使用场景设计了4种攻击难度级别:

难度级别 说明
Low 低难度,系统未采取任何安全防御措施
Medium 中级难度,系统有一定的防御手段,但仍然可被利用
High 难度提升,有更强力的安全措施,但仍有可利用的弱点
Impossible 几乎没有任何可利用的漏洞,可用来当做对比的正确范本

登入系统后,点击DVWA Security选项即可看到设置页面。

DVWA之暴力破解攻击_第1张图片
难度等级

该项目主要教你难度等级为low和Medium的破解攻击,至于高难度的破解攻击,你可以自己动手去实现。

2)安装burpsuite

下载并启动burpsuite,启动之后如下:

DVWA之暴力破解攻击_第2张图片
启动之后

实现攻击:

1)暴力破解(难度等级为low)

2)漏洞利用(难度等级为Medium)

关于暴力破解用户名和登录密码、以及漏洞利用的详细开发文档以及步骤、代码,点击点击【DVWA之暴力破解攻击】即可查看,这里由于篇幅有限就不再叙述了。

总结:

通过该项目可以了解暴力破解的攻击方法,那么针对暴力破解我们该如何进行防御呢?

1、可以在登录界面使用验证码,因为验证码的随机性,可以抵挡大部分攻击者,但是验证码这个东西也有两面性,如果做得太low,会被攻击者编写脚本识别出来,如果做得太high,就会造成用户体验差,比如12306。

2、可以设置登录错误次数限制,超过这个次数就不能输入,比如各大网银。

3、设置一个足够复杂的密码。

最后:

如果你想学习更多信息安全,黑客的有趣项目,点击这里即可查看并学习了~

你可能感兴趣的:(DVWA之暴力破解攻击)