web安全之暴力破解（一）

一.暴力破解简介

暴力破解的产生原因是因为服务器端没有做限制，导致攻击者可以通过暴力破解的手段破解用户所需要的信息，如用户名、密码、验证码等。暴力破解需要有庞大的字典，暴力破解的关键在于字典的大小。

二.暴力破解的原理

暴力破解的原理就是使用字典中的内容进行一一尝试，如果匹配成功了，提示该用户名密码正确，如果匹配失败，那么会继续进行尝试。

三、暴力破解之BurpSuite介绍

BurpSuite爆破中共有四种类型，Sniper、Battering ram、pitchfork、Cluster bomb。爆破完成后，最后的数字如果和其他数字不一样，那么就有可能是正确的用户名密码。

1.Sniper类型
特点:一个字典，两个参数，先匹配第一项，再匹配第二项

2.Battering ram
特点:一个字典，两个参数，同时匹配用户名和密码

3.Pitchfork
特点:两个字典，两个参数，同时匹配，第一个字典匹配第一个参数，第二个字典匹配第二个参数，短的截至。

4.Cluster bomb
特点:两个字典，两个参数，同时交叉匹配，匹配所有可能

四、实战演示（靶场环境）

1.这里爆破admin账号的密码，一般admin是管理员用户，一般都有这个账号，账号输入admin密码随便输入，然后开启抓包，可以看到username和password就是我们刚刚输入的字符，然后发送到intruder模块里面。

2.之后选择clear清除，然后选中password参数后的数字，点击add添加，然后选择payload设置字典，最后点击start attuack开始爆破





3.最后爆破完成，发现有一个字段长度不一样，尝试用这个登陆，发现登陆成功，到这里，爆破成功。用户名admin密码password

五、暴力破解防御办法

1.用户层面要避免使用弱口令，服务器端可以限制用户密码的最短长度
2.设置登录阈值，一旦超过设置的阈值，则锁定账号
3.登录时使用验证码进行验证，防止自动化脚本进行暴力破解
4.登录出现异常情况时使用短信验证码等私密信息进行登录验证
5.设置登陆次数