暴力破解
概述
暴力破解是一种针对于密码或身份认证的破译方法,即穷举尝试各种可能,找到突破身份认证的一种攻击方法。
暴力破解是一把双刃剑,一方面能够被恶意者使用,另一方面在计算机安全性方面却非常重要,它用于检查系统、网络或应用程序中使用的弱密码。
“暴力破解”是一攻击具手段,在web攻击中,一般会使用这种手段对应用系统的认证信息进行获取。 其过程就是使用大量的认证信息在认证接口进行尝试登录,直到得到正确的结果。 为了提高效率,暴力破解一般会使用带有字典的工具来进行自动化操作。
理论上来说,大多数系统都是可以被暴力破解的,只要攻击者有足够强大的计算能力和时间,所以断定一个系统是否存在暴力破解漏洞,其条件也不是绝对的。 我们说一个web应用系统存在暴力破解漏洞,一般是指该web应用系统没有采用或者采用了比较弱的认证安全策略,导致其被暴力破解的“可能性”变的比较高。 这里的认证安全策略, 包括:
1.是否要求用户设置复杂的密码;
2.是否每次认证都使用安全的验证码(想想你买火车票时输的验证码~)或者手机otp;
4.是否采用了双因素认证;
...等等。
原理
暴力破解的原理就是使用攻击者自己的用户名和密码字典,一个一个去枚举,尝试是否能够登录。因为理论上来说,只要字典足够庞大,枚举总是能够成功的!
分类
由于未对登录页面进行相关的人机验证机制,如无验证码、或有验证码但验证码失效以及无登录错误次数等,导致攻击者可通过暴力破解获取用户登录账号和密码。口令暴力破解常有如下的分类,我们以pikachu靶场的暴力破解为例,进行讲解
基于表单的暴力破解
对于如下这种表单,无验证码机制且没有对登录次数进行,则可以进行暴力破解。
爆破双字段(username和password)
进入靶场我们发现共有三组用户和密码:admin/123456,pikachu/000000,test/abc123。
