• 欢迎访问小澍的博客,编程记录,技术贴以及折腾的日常,推荐使用最新版火狐浏览器和Chrome浏览器访问本网站
  • 如果您觉得本站非常有看点,那么赶紧使用Ctrl+D 收藏我的博客吧

Brute Force And CRSF

PTE课程实录 root 1年前 (2019-07-22) 375次浏览 已收录 0个评论

Day 07

连续集训的第七天,至此,已经介绍了web安全中的SQL注入,XSS注入,XML实体注入、文件上传这几种经典的漏洞问题,累啊。。。
blob.jpg

Brute Force

原理

暴力破解的原理很简单,Attacker 事先知道(也可以不知道)一些用户名,试图破解用户名密码而进行的一种常规手段。一般网站对于登录成功与失败具有明显的差异,借助工具(BP)可以实现大量的试错。

过程

  1. 抓包:正常网页登录,抓取登录的数据包
  2. 数据包发送给入侵模块Intruder,清空数据包变量并重新设置密码字段变量
  3. 加载字典,可以使用密码生成器。
  4. Start Attack, 观察结果中是否有唯一Length不同的连接,有则大概率成功。

防范

  1. 设置需要输入的动态验证码;
  2. 在1的基础上改成滑动拼图形式的验证;
  3. 有些重要的账户可以设置OTP(One Time Password)

CSRF

这种形式,攻击者会伪造一个带有会话劫持的链接发送给具有权限的用户(管理员),用户点击后,跳转到的依旧是正常的网站,但是攻击者却可以借助 session id 直接登录刚刚点击这个链接的用户的登录后界面。

说起来有点绕口,说白了就是只要用户点了这个坏链接,攻击者就已经可以用用户的身份进行登录了。

过程

  1. 构造和原网址一致但seession id 是个人的URL,该URL除seesion id 不同外和管理员后台url 一致,这里不提供过程,dangerous.
  2. 诱导,手段可以是XSS
  3. 用户点击,不会察觉异常
  4. 在会话有效期内,攻击者已经可以直接登录;

防范

针对上述过程,管理员注意登录的正常流程以及注意进入url的参数(有点难),但还有其他手段:
1. 使用httponly
2. URL中不要出现参数
3. 强化用户身份验证


XiaoShuBlog , 版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明原文链接:Brute Force And CRSF
喜欢 (0)
[gaosirgoo@foxmail.com]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址