暴力破解及验证码安全

1??、暴力破解注意事项

破解前一定要有一个有郊的字典（Top100 TOP2000 csdn QQ 163等密码）；

判断用户是否设置了复杂的密码（可以自己尝试一下，走一下流程）、

网站是否存在验证码、

尝试登录的行为是否有限制（次数久了会不会限制IP或者账号）、

网站是否双因素认证（要有，如果没有要限制内网登录，http登录）、Token值等等

对目标网站进行注册，搞清楚帐号密码的一些限制，比如目标站点要求密码必须是8位以上，字母数字组合，则可以按照此优化字典，比如去掉不符合要求的密码。如果破解的是管理后台密码，可使用admin/administrator/root帐号机率较高，可以使用这三个帐号+随便一个密码字典进行暴力破解，是破解过程中一定要注意观察提示，如“用户名或密码错误”“密码错误”“用户名不存在”等相关提示。

2??、暴力破解分类（c/s:ftp/3389/ssh/445 b/s：一般是爆破web页面） s:服务器 c：web页面 b:浏览器

①、b/s（无验证码）

1）、基于表单的暴力破解

借助burp抓包，抓包之后发送到intruder，给密码设置变量借助字典进行查询

2）、基于验证码暴力破解

前端校验：借助burp抓包，发送到intruder，删除验证码变量，设置密码变量，进行密码爆破

on client常见问题：不安全的前端js实现验证码；不安全的将验证码在cookie中泄露；不安全的将验证码在前端源代码中泄露

服务端校验：借助burp抓包，发送到intruder，保留验证码变量，设置密码变量，进行密码爆破

on server常见问题：验证码在后台不过期，导致长期使用(php默认session是24分钟过期)；验证码校验不严格，逻辑出现问题；验证码设计的太过简单和有规律的被猜解

3）、基于Token破解：借助burp抓包，发送到intruder，攻击类型设置成音叉，设置密码变量和token值变量，进行爆破。

（参考token破解文档）通过token获得密码

由于token值输出在前端源代码中，容易被获取，因此也就失去了防暴力破解的意义，一般Token在防止CSRF上会有比较好的功郊。

注意：破解方式为音叉；线程数设为1；Grep-Extract设置好开始token” value=” 结束为” /> ；有郊载荷设为递归搜索”token” value=”【取token值】

4）、pkav工具的使用（验证码安全）

由于版本问题，当前该软件还不能实现抓包，只能通过burp抓好包，然后复制过来。

1、给密码和验证码设置标记，添加web字典。

2、复制验证码图片链接地址。（图片型）【复杂验证码搞不定】

Ⅲ、验证码分类

Gif动画验证码、手机短信验证码（时间、内容限制）、手机语音验证码、视频验证码

Ⅳ、验证码原理

1.客户端发起一个请求

2.服务端响应并创建一个新的SessionID同时生成一个随机验证码。

3.服务端将验证码和SessionID一并返回给客户端

4.客户端提交验证码连同SessionID给服务端

5.服务端验证验证码同时销毁当前会话，返回给客户端结果

Ⅴ、 安全问题及案例

1、客户端生成验证码

南开大学案例:

2.验证码输出客户端

索尼验证码实现缺陷 http://www.wooyun.org/bugs/wooyun-2012-06634

某会考报名系统验证码绕http://www.wooyun.org/bugs/wooyun-2014-063644

3.验证码输出在cookie中

吉祥航空 http://www.wooyun.org/bugs/wooyun-2014-086797

5173验证码可被绕过 http://www.wooyun.org/bugs/wooyun-2012-05151

Ⅵ、服务端问题

1、验证码不过期，没有及时销毁会话导致验证码复用(这个是最常见的,php默认有23分钟才能自动销毁验证码)**

2、没有进行非空判断

3、产生的验证码问题集内的答案非常有限

139邮箱图验证码绕过漏洞 http://www.wooyun.org/bugs/wooyun-2013-025245

Ⅶ、修改建议

1. 强制要求输入验证码，否则，必须实施IP策略。 注意不要被X-Forwaded-For绕过了！

2. 验证码只能用一次，用完立即过期！不能再次使用

3. 验证码不要太弱。扭曲、变形、干扰线条、干扰背景色、变换字体等。

4. 大网站最好统一安全验证码，各处使用同一个验证码接口。

暴力猜解

简介

暴力猜解简单来说就是将密码进行逐个推算，直到找出真正的密码为止。

C/S架构暴力猜解

C/S即客户端/服务器,基于C/S架构的应用程序 如 ssh ftp sql-server mysql 等，这些服务往往提供一个高权限的用户，而这个高权限的用户往往可以进行执行命令的操作，如 sql-server 的 sa ，mysql的root，oracle的sys和system帐号，使用这些高权限的用户能在很大程度上给开发人员带来方便，但如果口令被破解带来的危害也是相当大的。

C/S架构主要使用的破解工具 Hydra（几乎支持所有协议，kali)、Bruter（不要用中文路径）、X-scan

1.1.1 五、防范暴力猜解

防止暴力破解是非常简单的，无论是B/S架构或者是C/S架构，下面总结出以下几点。

1、密码的复杂性

毫无疑问，密码设置一定要复杂，这是最基本的，最低层的防线，密码设定一定要有策略：

①对于重要的应用，密码长度最低位8位数以上，尽量在8位数之16位数之间。

②绝不允许以自己的手机号码，邮箱等关键“特征”为密码。

③用户名与密码不能有任何联系，如用户名为“admin”，密码为 “admin888”。

④仅仅以上三点是不够的，比如说“12345678”、“222222222”、“11111111”这样的密码，长度够了，但是也极为危险，因为这些即为弱口令。这些密码一般都已经被收录到了攻击者的字典之中。所以就必须要增加密码的复杂性。比如以下方案：

·至少一个小写字母（a-z）

·至少一个大写字母（A-Z）

·至少一个数字（0-9）

·至少一个特殊字符（*&^%$#@!）

如果你感觉你的密码足够强大，就让攻击者去攻击几年吧，虽然这只是句玩笑，也说明了密码策略的重要性，密码复杂，不单单是对暴力破解有防范，也对其他的攻击有防范，例如MD5密码破解，你的密码足够复杂，CMD5解密也是比较难的。

2、验证码措施

验证码（CAPTCHA）是“Completely Automated Public Turing test to tell Computers and Humans Apart”（全自动区分计算机和人类的图灵测试）的缩写，是一种区分用户是计算机和人的公共全自动程序。

使用验证码可以有效的防止：恶意破解密码、刷票、论坛灌水等。可以说验证码最主要的是防范“机器人”，如图12-12所示，是一个用户注册页面，嵌入验证码之后可以有效的防止机器人注册（机器人在注册后通常会发布一些广告帖，违法贴）。

来源：YUG-CAI