手把手教你一步一步暴力破解密码，学不会来找我

目录

一、什么是暴力破解？

二、暴力破解弱口令实验

三、如何防御暴力破解攻击？

---

一、什么是暴力破解？

暴力破解也可称为穷举法、枚举法，是一种针对于密码的破译方法，将密码进行逐个推算直到找出真正的密码为止。设置长而复杂的密码、在不同的地方使用不同的密码、避免使用个人信息作为密码、定期修改密码等是防御暴力破解的有效方法。

暴力破解的原理就是使用攻击者自己的用户名和密码字典，一个一个去枚举，尝试是否能够登录。因为理论上来说，只要字典足够庞大，枚举总是能够成功的！

但实际发送的数据并不像想象中的那样简单——“ 每次只向服务器发送用户名和密码字段即可！”，实际情况是每次发送的数据都必须要封装成完整的 HTTP 数据包才能被服务器接收。但是你不可能一个一个去手动构造数据包，所以在实施暴力破解之前，我们只需要先去获取构造HTTP包所需要的参数，然后扔给暴力破解软件构造工具数据包，然后实施攻击就可以了。

暴力破解是一把双刃剑，一方面能够被恶意者使用，另一方面在计算机安全性方面却非常重要，它用于检查系统、网络或应用程序中使用的弱密码。

二、暴力破解弱口令实验

实验环境：DVWA

暴力破解工具：burpsuite

第一步：打开DVWA：
随便输入用户名和密码

第二步：打开burpsuite拦截

 第三步：选择我们要破解的变量

 把下面的“§”都删掉

 第四步：设置两个payload

 

 

 

 再敲一下回车，大功告成

 你学废了吗

三、如何防御暴力破解攻击？

• 人的层面：增强密码安全性

  • 提升密码长度和复杂度

  • 在不同的地方使用不同的密码

  • 避免使用字典单词、数字组合、相邻键盘组合、重复的字符串

  • 避免使用名字或者非机密的个人信息（电话号码、出生日期等）作为密码，或者是亲人、孩子、宠物的名字

  • 定期修改密码

• 系统层面：做好密码防暴力破解设计

  • 锁定策略：输错密码几次就锁定一段时间

  • 验证码技术：要求用户完成简单的任务才能登录到系统

  • 密码复杂度限制：强制用户设置长而复杂的密码，并强制定期更改密码

  • 双因子认证：结合两种不同的认证因素对用户进行认证