Burte Force(暴力破解)概述
“暴力破解”是一攻擊具手段,在web攻擊中,一般會使用這種手段對應用系統的認證信息進行獲取。 其過程就是使用大量的認證信息在認證接口進行嘗試登錄,直到得到正確的結果。 為了提高效率,暴力破解一般會使用帶有字典的工具來進行自動化操作。
理論上來說,大多數系統都是可以被暴力破解的,只要攻擊者有足夠強大的計算能力和時間,所以斷定一個系統是否存在暴力破解漏洞,其條件也不是絕對的。 我們說一個web應用系統存在暴力破解漏洞,一般是指該web應用系統沒有采用或者采用了比較弱的認證安全策略,導致其被暴力破解的“可能性”變的比較高。 這里的認證安全策略, 包括:
1.是否要求用戶設置復雜的密碼;
2.是否每次認證都使用安全的驗證碼(想想你買火車票時輸的驗證碼~)或者手機otp;
3.是否對嘗試登錄的行為進行判斷和限制(如:連續5次錯誤登錄,進行賬號鎖定或IP地址鎖定等);
4.是否采用了雙因素認證;
...等等。
千萬不要小看暴力破解漏洞,往往這種簡單粗暴的攻擊方式帶來的效果是超出預期的!

你可以通過“暴力破解”對應的測試欄目,來進一步的了解該漏洞。

建議使用工具burpsuite
bupresuite下載地址和配置方法: http://nvhack.com/forum.php?mod=viewthread&tid=7291&highlight=burpsuite

從來沒有哪個時代的黑客像今天一樣熱衷于猜解密碼 ---奧斯特洛夫斯基