暴力破解web登录心得

1. 面试:java登录时 如何应对暴力破解的问题

有计数器和拦截器，超过一定的错误次数就引入另外一个业务，例如输入页面验证码，如果再错误就冻结账号，或者间隔一定时间才能再试。
同时记录该错误发生的日志信息，达到预先设定的值就进行后台告警。
你自己试试一些网站多次登录失败的机制就知道了啊。

2. 什么是暴力破解如果防止暴力破解

是linux系统吗，可以用shell脚本完成

脚本

3. 如何防止web攻击

SQL注入攻击(SQL Injection)
攻击者把SQL命令插入到Web表单的输入域或页面请求的字符串，欺骗服务器执行恶意的SQL命令。在某些表单中，用户输入的内容直接用来构造（或者影响）动态SQL命令，或作为存储过程的输入参数，这类表单特别容易受到SQL注入式攻击。
常见的SQL注入式攻击过程类如：
1.某个Web应用有一个登录页面，这个登录页面控制着用户是否有权访问应用，它要求用户输入一个名称和密码；
2.登录页面中输入的内容将直接用来构造动态的SQL命令，或者直接用作存储过程的参数；
例如：
$query = 'SELECT * from Users WHERE login = ' . $username . ' AND password = ' . $password;
3.攻击者在用户名字和密码输入框中输入'或'1'='1之类的内容；
4.用户输入的内容提交给服务器之后，服务器运行上面的代码构造出查询用户的SQL命令，但由于攻击者输入的内容非常特殊，所以最后得到的SQL命令变成：
SELECT * from Users WHERE login = '' or '1'='1' AND password = '' or '1'='1'；
5.服务器执行查询或存储过程，将用户输入的身份信息和服务器中保存的身份信息进行对比；
6.由于SQL命令实际上已被注入式攻击修改，已经不能真正验证用户身份，所以系统会错误地授权给攻击者。
如果攻击者知道应用会将表单中输入的内容直接用于验证身份的查询，他就会尝试输入某些特殊的SQL字符串篡改查询改变其原来的功能，欺骗系统授予访问权限。
系统环境不同，攻击者可能造成的损害也不同，这主要由应用访问数据库的安全权限决定。如果用户的帐户具有管理员或其他比较高级的权限，攻击者就可能对数据库的表执行各种他想要做的操作，包括添加、删除或更新数据，甚至可能直接删除表
防范方法：
1.检查变量数据类型和格式
2.过滤特殊符号
3.绑定变量，使用预编译语句

跨网站脚本攻击(Cross Site scripting, XSS)
攻击者将恶意代码注入到网页上，其他用户在加载网页时就会执行代码，攻击者可能得到包括但不限于更高的权限（如执行一些操作）、私密网页内容、会话和cookie等各种内容。这些恶意代码通常是javascript、HTML以及其他客户端脚本语言。
例如：
<?php
echo "欢迎您，".$_GET['name'];

常用的攻击手段有：
盗用cookie，获取敏感信息；
利用iframe、frame、xmlHttpRequest或上述Flash等方式，以（被攻击）用户的身份执行一些管理动作，或执行一些一般的如发微博、加好友、发私信等操作；
利用可被攻击的域受到其他域信任的特点，以受信任来源的身份请求一些平时不允许的操作，如进行不当的投票活动；
在访问量极大的一些页面上的XSS可以攻击一些小型网站，实现DDoS攻击的效果。
防范方法：使用htmlspecialchars函数将特殊字符转换成HTML编码，过滤输出的变量

跨网站请求伪造攻击(Cross Site Request Forgeries, CSRF)
攻击者伪造目标用户的HTTP请求，然后此请求发送到有CSRF漏洞的网站，网站执行此请求后，引发跨站请求伪造攻击。攻击者利用隐蔽的HTTP连接，让目标用户在不注意的情况下单击这个链接，由于是用户自己点击的，而他又是合法用户拥有合法权限，所以目标用户能够在网站内执行特定的HTTP链接，从而达到攻击者的目的。
它与XSS的攻击方法不同，XSS利用漏洞影响站点内的用户，攻击目标是同一站点内的用户者，而CSRF 通过伪装成受害用户发送恶意请求来影响Web系统中受害用户的利益。
例如:
某个购物网站购买商品时，采用shop.com/buy.php?item=watch&num=100
item参数确定要购买什么物品，num参数确定要购买数量，如果攻击者以隐藏的方式发送给目标用户链接那么如果目标用户不小心访问以后，购买的数量就成了100个
防范方法：
1、检查网页的来源
2、检查内置的隐藏变量
3、使用POST，不要使用GET，处理变量也不要直接使用$_REQUEST

Session固定攻击(Session Fixation)
这种攻击方式的核心要点就是让合法用户使用攻击者预先设定的session id来访问被攻击的应用程序，一旦用户的会话ID被成功固定，攻击者就可以通过此session id来冒充用户访问应用程序。
例如:
1.攻击者访问网站bank.com，获取他自己的session id，如：SID=123；
2.攻击者给目标用户发送链接，并带上自己的session id，如：bank.com/?SID=123；
3.目标用户点击了bank.com/?SID=123，像往常一样，输入自己的用户名、密码登录到网站；
4.由于服务器的session id不改变，现在攻击者点击bank.com/?SID=123，他就拥有了目标用户的身份，可以为所欲为了。
防范方法：
1.定期更改session id
session_regenerate_id(TRUE);//删除旧的session文件，每次都会产生一个新的session id。默认false，保留旧的session
2.更改session的名称
session的默认名称是PHPSESSID，此变量会保存在cookie中，如果攻击者不抓包分析，就不能猜到这个名称，阻挡部分攻击[code]session_name("mysessionid");
复制代码
3.关闭透明化session id
透明化session id指当浏览器中的http请求没有使用cookie来制定session id时，sessioin id使用链接来传递
int_set("session.use_trans_sid", 0);
复制代码
4.只从cookie检查session id
int_set("session.use_cookies", 1);//表示使用cookies存放session id
int_set("session.use_only_cookies", 1);//表示只使用cookies存放session id
复制代码
5.使用URL传递隐藏参数
$sid = md5(uniqid(rand()), TRUE));
$_SESSION["sid"] = $sid;//攻击者虽然能获取session数据，但是无法得知$sid的值，只要检查sid的值，就可以确认当前页面是否是web程序自己调用的
Session劫持攻击(Session Hijacking)
会话劫持是指攻击者利用各种手段来获取目标用户的session id。一旦获取到session id，那么攻击者可以利用目标用户的身份来登录网站，获取目标用户的操作权限。
攻击者获取目标用户session id的方法:
1.暴力破解:尝试各种session id，直到破解为止;
2.计算:如果session id使用非随机的方式产生，那么就有可能计算出来;
3.窃取:使用网络截获，xss攻击等方法获得
防范方法：
1.定期更改session id
2.更改session的名称
3.关闭透明化session id
4.设置HttpOnly。通过设置Cookie的HttpOnly为true，可以防止客户端脚本访问这个Cookie，从而有效的防止XSS攻击。
文件上传漏洞攻击(File Upload Attack)
文件上传漏洞指攻击者利用程序缺陷绕过系统对文件的验证与处理策略将恶意代码上传到服务器并获得执行服务器端命令的能力。
常用的攻击手段有：
上传Web脚本代码，Web容器解释执行上传的恶意脚本；
上传Flash跨域策略文件crossdomain.xml，修改访问权限(其他策略文件利用方式类似)；
上传病毒、木马文件，诱骗用户和管理员下载执行；
上传包含脚本的图片，某些浏览器的低级版本会执行该脚本，用于钓鱼和欺诈。
总的来说，利用的上传文件要么具备可执行能力(恶意代码)，要么具备影响服务器行为的能力(配置文件)。
防范方法：
1.文件上传的目录设置为不可执行；
2.判断文件类型，设置白名单。对于图片的处理，可以使用压缩函数或者resize函数，在处理图片的同时破坏图片中可能包含的HTML代码；
3.使用随机数改写文件名和文件路径：一个是上传后无法访问；再来就是像shell.php.rar.rar和crossdomain.xml这种文件，都将因为重命名而无法攻击；
4.单独设置文件服务器的域名：由于浏览器同源策略的关系，一系列客户端攻击将失效，比如上传crossdomain.xml、上传包含javascript的XSS利用等问题将得到解决。

4. web认证登入系统怎么破解

web认证登入系统的破解方法

• 1.直接法（对症下药）

• 当弹出“该站点安全证书的吊销信息不可用.是否继续? ”的对话框时，点击“查看证书”，切换到“详细信息”TAB页，找到其“CRL分发点”的URL，复制下来，用迅雷等下载工具或找一台可以正常访问该URL的机器将该文件下载后并复制过来。

• 点击鼠标右键，选择“安装”，按照向导完成安装。

• 此时再重浏览该站点就不会再收到“不能检查服务器证书的吊销信息”了。

• 当然，当超过了“下一次的更新”日期，运气不佳的你可能又需要重做一次。

• 2.间接法（视乎可以一劳永逸，却留有隐患）

• 打开Internet Explorer浏览器——工具——Internet 选项——高级，依次做如下操作：

• 取消勾选证书吊销的2个选项

• 确认勾选使用SSL2.0与3.0选项

• 取消勾选安全模式和非安全模式切换警告

5. 我这里有一个web登录的脚本，有谁能想到暴力破解的办法

暴力破解就是一个接一个的试，直到试验出正确的密码
没什么方法可言 完全靠运气

6. web网页认证的Wifi如何破解

凡是网页认证的WiFi都很难破解的，而且过程复杂，既然不能破解，那么就别用了，影响学习。记得好像看过一篇破解WiFi的文章，你可以网络一下怎么破解要登录的WiFi。

7. web暴力破解登录,属于攻击链模型的哪个阶段

第6个阶段，执行活动。
暴力破解登录即在没有得到允许的情况下，破解了信息并进行篡改，而执行活动阶段即执行所有的活动行为，如偷取信息、篡改信息，所以属于第六个阶段。
攻击链模型分为七个阶段，一是侦查目标、二是制作工具、三是传送工具、四是触发工具、五是控制目标、六是执行活动、七是保留据点，属于多目标、多阶段、更低调的攻击方式，web暴力破击登录只是其中的一种。

8. 带验证码的网页登陆，如何暴力破解

验证码的目的就是进行人机区分，防止频繁提交来暴力破解账号等，要达到暴力破解的前提就是得用自动化程序来通过人机验证。验证码的种类很多，每种的破解方式的不同，相对来说字符类验证码比较容易破解，因为字符库永远是有限的。现在比较流行的行为验证还分析了用户的行为特征，要破解就更难了。比如VAPTCHA这种随机轨迹的手势验证码，具有无限种验证轨迹，用传统的破解方式是无法破解的。

9. 怎样简单快速破解WEB密码

操作系统：Microsoft Windows XP 用到工具：1. webshell密码破解器 看到这个 UserPass="" mName="[H.K.C]黑客小组" '你的后门名字 UserPass 用户密码，不会那么长吧！~呵呵，加了密的，下面就用工具解密了 把""中间的数据复制下来，点解密就OK了 shangwangle.com 这个就是密码了，复制进去，OK，下面教大家，简单的提权 查看3389登录信息 -- 当前终端服务端口: 5566 系统自动登录功能未开启 125.46.10.61:5566 我们用 Servu提权 cmd /c net user 12345 123 /add & net localgroup administrators 12345 /add 这个是加用户的命令 提权完毕,已执行了命令： cmd /c net user 12345 123 /add & net localgroup administrators 12345 /add 下面用3389连接器连一下 这个服务器是网通，我这是电信的所以慢，请快进吧 不好意思，还在下东西！~呵呵 好了，这个应该很简单吧！~ 原理是利用Serv-u安装时候的默认密码提权 #l@$ak#.lk;0@P 这个就是默认密码了 不管他了！~~ 教程就到这里吧！~~~

10. 使用WordPress系统网站被暴力破解了，应该怎么解决以及预防

WordPress优化一直以来是各位wordpress站长所关心的问题，wordpress本身已经有强大的安全防护措施，但是无聊人士之多，今天就跟大家谈谈如何保护你的wordpress网站。 什么是暴力破解? 不是每一个WordPress站长或者Web开发人员都不错。总有一些邪恶的人。 暴力破解是当一个人或一些机器上尝试通过反复发送的登录尝试破解您的用户名密码组合。 他们会使用一些常见的和随机的用户名和密码组合进行连续登录尝试到你的WordPress。 如何保护你的wordpress防止被暴力破解? 当然这是我们今天讨论的主题，暴力破解是邪恶的，但是你可以很容易地通过采取下面这些简单的预防措施保护您的WordPress的强力攻击： 强大的用户名： 您还是使用的是admin为你的WordPress的用户名? 这是默认的用户名也很容易被黑客猜出此用户名。 请务必使用您的姓名或不同的东西作为你的WordPress的管理员用户名。 强密码： 就像强大的用户名，你需要一个强大的密码! 暴力破解者试图猜测一些随机密码组合，字典中的单词，并使用所有常用的密码破解您的密码。 使用password作为您的密码是不是一个明智的举动，因为暴力破解将马上破解这个密码。 强大的wordpress密码应该使用随机字母，数字和特殊字符。 不要使用类似123456或QWERTY字符串。 您也可以通过访问howsecureismypassword.net 来检查您的密码强度。 限制登录尝试： 您也应该在你的WordPress网站限制登录尝试。 限制登录尝试的插件(Limit Login Attempts)会阻止管理员指定的限制登陆次数后的操作。 它不会让暴力破解尝试破解你的密码。 通过IP限制进入wp-admin和wp-login： 如果你是一个人在管理你的WordPress，那么只需要你自己能进入wordpress后台即可，你可以设定一个固定的IP地址段，通过.htaccess文件来限制进入wp-login和wp-admin。 你可以这样写： Order deny,allow Deny from all Allow from xx.xx.xx.0/24 #Another IP Allow from xx.xx.xx.xx 替换xx.xx.xx.xx 成你的IP地址. 要知道你的IP地址，你可以在网络中输入IP即可查询，也可以访问ip138。 WordPress插件： 其实这方面的插件很多，今天主要是介绍这款插件Wordfence Security，后台搜索即可安装，此款插件可以保护你的wordpress的安全，防止被暴力破解等攻击。 所有这些步骤一定会保护你的WordPress网站从所有这些无用和邪恶的暴力破解攻击，你认为这些方法怎么样?转账请注明：/save-wordpress-brute-force-attacks/ 谢谢合作