暴力破解与验证码安全 |
您所在的位置:网站首页 › b/s程序设计 › 暴力破解与验证码安全 |
BS架构暴力猜解
浏览器与客户端之间的破解,一般有一个web页面,针对web站点暴破 一般是对 web 应用程序中的高权限用户进行猜解,如网站的内容管理系统账户。一般针对 B/S 的暴力猜解,我们使用 Burp Suit 镜像表单爆破。 操作流程 一般情况填写账号密码文本框,抓包,发到测试器 选择攻击类型 清除变量 在有效荷载选项(简单列表)选择字典模式,进行上传 开始攻击,找到返回值与其他的数据不一样的一条 理解BurpSuit Intruder几种攻击方式,之前的burp使用中我写过一些,这个连接比较全面,更加深入 https://www.cnblogs.com/Kevin-1967/p/7762661.html API接口暴力猜解API 接口暴力猜解参考 https://xz.aliyun.com/t/6330 (漏洞出现原因API接口不需要身份验证就可以访问) 抓包时发现/api/类似的端点格式,却无法确定哪一个API端口用于登录,这时候可以用字典暴破 7KBscan中有很多用于这类暴破字典 关于返回值: 404不存在 405数据包类型不对 转换post 或Get观察响应消息,有可以让我们利用的firstneme,emile之类的信息,更改后添加到post数据包部分,相当于通过接口直接创建了一个账户,而且这个账户很可能有管理员权限,且可以绕过前端所有对账号的要求 |
今日新闻 |
推荐新闻 |
CopyRight 2018-2019 办公设备维修网 版权所有 豫ICP备15022753号-3 |