出於书本 Chapter 14. Web sites and Application
许多站台都会要求使用者在对网页应用程序进行下一步操作时,要 登入
至该站台。通常就是要求使用者要一组登入用的 使用者 ID
与 密码
。这些登入机制有时会无法妥善地处理不正确的登入,或是揭露太多的资讯,攻击者便可利用这些资讯来搜集有效的使用者 ID 与密码。
无效的
使用者 ID 搭配 有效的
密码有效的
使用者 ID 搭配 无效的
密码无效的
使用者 ID 搭配 无效的
密码在输入这些组合的测项後,网站可能会回传像是 你的使用者 ID 无效
或是 你的密码无效
,也有可能是回传比较一般的讯息像是 你的使用者 ID 与密码组合无效
,但是分别在输入无效的使用者 ID 与无效的密码时 回传不同的 error code
。
对攻击者来说,一但能分得出哪个栏位是否是有效的情况下,便可以使用自动化的密码攻击方式来破解以进入网站。
书上介绍可以使用像是 Brutus
之类的网站密码破解工具,来替自家站台做测试。因为这套又是 Windows Only
的工具,只好到网路上找找。
下载 Burp Suite Community 版本後,介面上有一些指引带领大家操作,还有教学影片
选择 Getting started with Burp Suite
,功能真的五花八门,也难怪可以看到其他高手的铁人赛系列文章,30 天就只解释这套工具。
在网路应用程序中实作下面的项目,来预防登入机制相关的攻击
CAPTCHA
来预防密码攻击明天来整理一下如何降低网站的安全性风险!
[2] [骇客工具 Day12] 密码暴力破解 - Hydra
[3] [骇客工具 Day10] web安全测试 - Burp Suite
<<: 30天学习笔记 -day 27-Motion Editor(下篇)
To make the operators meaningful for users, let’s ...
基本名词及观念: • Experiment:一次实验,如寻找最好的神经网路架构。经多个autoML ...
前言 JS 30 是由加拿大的全端工程师 Wes Bos 免费提供的 JavaScript 简单应用...
先前有介绍过 dat.GUI,这篇补充一些先前没提过的部分: [PixiJS - Day-16] 使...
此系列文章会同步发文到个人部落格,有兴趣的读者可以前往观看喔。 测试脚本中有许多测试用例时,当需要...