短信验证码攻击和暴力破解

短信验证码攻击：
1.使用burpsuite抓取发送验证码的包，将内容发送到Intruder中，点击Positions

图片发自App

• 先点击Clear$
• 再选中需要的参数再点击Add $
• Attack type：选择Sniper

2.切换到Intruder的Payloads，在Add右边的输入框中添加不同的手机号

图片发自App

3.接着点击右上方的Start attack

4.然后就可以看到已经以不同手机号向该接口发送了请求

图片发自App

修复建议：

• 对用户身份和访问权限严格校验
• 后端提取手机号发送验证码
• 所有验证码都遵循一次一码原则

暴力破解：(登录接口实例)
原理：使用攻击者的用户名和密码字典，一一去枚举，即每一个用户名都会对应所有密码去尝试能否登录。理论上说，只要字典足够庞大，枚举是能够成功的。

1.同样将包发送到Instruder中，点击Position。

• 先点击Clear$
• 再选中需要的参数再点击Add $

• Attack type：因为需要用到2个参数，所以选择Cluster bomb
  图片发自App

2.准备2个txt文件，一个文件填写用户名，另一个填写密码；

3.切换到Intruder的Payloads，选择Payload set的字典1，然后点击下方的load将用户名导入进去；

图片发自App

4.再选择Payload set的字典2，然后点击下方的load将密码导入进去；

5.切换到Intruder的Options，下滑找到Grep-Match，Add参数true(这个是为了用来标识破解成功的用户名密码)；
6.切换到Intruder的Payloads，点击Start attack；

7.可以查看到发送的结果，其中勾选了true的是正确的用户名和密码

图片发自App