基于Burpsuite的安全测试二:暴力破解用户名密码
情景1:暴力破解某系统登录时的用户密码
- 首先在浏览器中设置代理为127.0.0.1,端口为8080。
- 启动Burp Suite。
- 在浏览器中输入网页回车,并点击登录按钮到登录页面,需要输入用户名密码。
- 此时在Proxy tab中的Positions中查看内容,并做如下操作:
attack后
可以通过查看Response返回信息或者Status返回状态的不同来判断破解密码是否成功
情景2:暴力破解某系统登录时的用户名和密码
- 如果不知道用户名和密码,可以将用户名密码都add 上位置标记。
- 然后其他同情景1,导入文件,用户名字典和密码字典进行穷举测试。
系统修复方案:
- 用户登录时增加验证码校验,每失败一次就换一次验证码。
- 试错次数限制,如果用户连续输错5次就冻结账户24小时等方式来预防被暴力破解的风险。
- 登录时增加手机验证码或者邮箱验证码的验证,预防被暴力破解。