暴力破解漏洞

定义与原理

• 定义：暴力破解漏洞是指攻击者通过不断尝试各种可能的用户名、密码组合或其他认证信息，来获取对系统、应用程序或特定资源的访问权限。
• 原理：利用了大多数系统在用户认证过程中存在的弱点。攻击者使用自动化工具或脚本来生成大量的猜测数据，并逐一尝试登录或访问受保护的区域，直到找到正确的组合。

攻击方式

• 字典攻击：攻击者使用包含常见用户名、密码组合的字典文件进行尝试。这些字典可以是预先编制的，包含大量常见的密码，如 “123456”“password” 等，也可以根据目标系统的特点进行定制。
• 纯暴力攻击：不依赖任何字典，而是尝试所有可能的字符组合。这种方式虽然耗时较长，但对于简单的密码或较短的字符集，仍然可能在合理的时间内成功。
• 混合攻击：结合字典攻击和纯暴力攻击，先使用字典中的常见组合进行尝试，然后对未成功的情况进行更广泛的字符组合尝试。

危害

• 数据泄露：一旦攻击者成功获取到合法用户的登录凭证，就可以访问用户的个人信息、敏感数据，如银行账户信息、客户资料、企业机密等，导致数据泄露，给用户和企业带来严重的损失。
• 系统被控制：攻击者可能利用获取的权限进一步控制服务器，篡改网站内容、植入恶意软件、发起进一步的攻击，如 DDoS 攻击（分布式拒绝服务攻击），影响系统的正常运行，甚至使整个系统瘫痪。
• 身份盗窃：攻击者可以冒用合法用户的身份进行各种非法活动，如发送欺诈邮件、进行金融交易等，给用户带来声誉和经济上的双重损失。

防范措施

• 强密码策略：要求用户设置复杂的密码，包括字母、数字、特殊字符的组合，并且定期更换密码。同时，限制密码的长度和强度，避免使用过于简单的密码。
• 账户锁定机制：设置在一定时间内多次登录失败后自动锁定账户的功能，防止攻击者无限制地尝试密码。可以设置锁定时间和解锁方式，如通过手机验证码或管理员手动解锁。
• 验证码验证：在登录页面或重要操作页面添加验证码，要求用户输入正确的验证码才能继续操作。验证码可以有效防止自动化工具的暴力破解，因为识别验证码对于机器来说相对困难。
• 安全审计与监控：建立完善的安全审计系统，记录用户的登录行为、访问记录等信息。通过实时监控和分析这些数据，可以及时发现异常的登录尝试，并采取相应的措施，如封禁可疑 IP 地址。
• 使用多因素认证：除了用户名和密码外，引入其他因素进行身份验证，如手机验证码、硬件令牌、生物识别技术（指纹、面部识别等）。多因素认证可以大大提高系统的安全性，即使密码被破解，攻击者也难以通过其他因素的验证。

本来想尝试4399，发现提交后的密码是进行了加密的，而且没看出来是何种加密算法。
7k7k数据包中的密码没有进行加密，更容易破解。

基于表单的暴力破解

1.注册一个账户，密码故意为弱口令

2.抓包，发送到攻击模块，在已知账号的情况下将密码设为爆破点

3.点击load添加字典，开始攻击

4.根据长度排序查看结果
qq123456就是密码