暴力破解漏洞 原理以及修复方法

漏洞名称：暴力攻击、暴力破解、暴力猜解

漏洞描述：暴力破解的基本思想是根据题目的部分条件确定答案的大致范围，并在此范围内对所
有可能的情况逐一验证，直到全部情况验证完毕。若某个情况验证符合题目的全部条
件，则为本问题的一个解；若全部情况验证后都不符合题目的全部条件，则本题无解。
常常存在于网站的登录系统中，通过对已知的管理员用户名，进行对其登录口令的大
量尝试。

检测条件 ：1、 已知Web网站具有登录页面。
                   2、 登录页面无验证码，无登录失败次数过多，锁定账户机制。

检测方法：1、 找到网站登录页面。
                  2、 利用burp对登录页面进行抓包，将其发送到Intruder,并设置其密码参数，如pwd=
为变量，添加payload（字典），进行攻击，攻击过程中查看其返回的字节长度以及返回包内容来判断是否成功。攻击效果如图所示：

修复方案 ：

防止暴力攻击的一些方法如下：
1、 账户锁定
账户锁定是很有效的方法，因为暴力破解程序在5-6次的探测中猜出密码的可能
性很小。但是同时也拒绝了正常用户的使用。如果攻击者的探测是建立在用户名探测
成功之后的行为，那么会造成严重的拒绝服务攻击。对于对大量用户名只用一个密码
的探测攻击账户锁定无效。如果对已经锁定的账户并不返回任何信息，可能迷惑攻击
者。
2、 返回信息
如果不管结果如何都返回成功的信息，破解软件就会停止攻击。但是对人来说很
快就会被识破。
3、 页面跳转
产生登录错的的时候就跳到另一个页面要求重新登录。比如126和校内网都是这
样做的。局限性在于不能总是跳转页面，一般只在第一次错误的时候跳转，但是第一
次之后又可以继续暴力探测了。
4、 适当的延时
检查密码的时候适当的插入一些暂停，可以减缓攻击，但是可能对用户造成一定
的影响。
5、 封锁多次登录的IP地址
这种方法也是有缺点的，因为攻击者可以定时更换自己的IP。
6、 验证码
验证码是阻止暴力攻击的好方法，但设计不好的验证码是可以绕过的，而且对于
特定目标的手工探测来说验证码是没有作用的。