什么是burpsuit?
Burp Suite 是用于攻击web 应用程序的集成平台。它包含了许多工具,并为这些工具设计了许多接口,以促进加快攻击应用程序的过程。所有的工具都共享一个能处理并显示HTTP 消息,持久性,认证,代理,日志,警报的一个强大的可扩展的框架。
它具有如下工具模块:
Proxy——是一个拦截HTTP/S的代理服务器,作为一个在浏览器和目标应用程序之间的中间人,允许你拦截,查看,修改在两个方向上的原始数据流。
Spider——是一个应用智能感应的网络爬虫,它能完整的枚举应用程序的内容和功能。
Scanner[仅限专业版]——是一个高级的工具,执行后,它能自动地发现web 应用程序的安全漏洞。
Intruder——是一个定制的高度可配置的工具,对web应用程序进行自动化攻击,如:枚举标识符,收集有用的数据,以及使用fuzzing 技术探测常规漏洞。
Repeater——是一个靠手动操作来补发单独的HTTP 请求,并分析应用程序响应的工具。
Sequencer——是一个用来分析那些不可预知的应用程序会话令牌和重要数据项的随机性的工具。
Decoder——是一个进行手动执行或对应用程序数据者智能解码编码的工具。
Comparer——是一个实用的工具,通常是通过一些相关的请求和响应得到两项数据的一个可视化的“差异”。
接下来我们使用 proxy 和 intruder 来 暴力破解web 登录
案例: 这里以部署的DVWA的的brute暴力破解为例
步骤:
1.浏览器设置burpsuit代理
2.在暴力破解页面输入相应的账号密码,burpsuit拦截到数据包,右击选中 “send to intruder”
3.到intruder中的positions中去掉多余的参数(选中多余的点击clear),attack type选择cluster bomb(适用于账号和密码同时爆破)
4.在pyloads中选择先设置pyload set 1 ,然后设置pyload set 2 ,分别选择“load”相应的参数的爆破字典
5.点击start attack开始攻击
6.从结果的length长度中,看到有个长度不一样,说明它是很可能成功的。我们看看它的response回复包。结果是正确的。
在dvwa中出现"welcome to the password protected area admin"说明使用admin/password爆破成功
结束语:
要成功的爆破web 登录:
1.你要有足够多的password 字典 和username 字典
2.web登录中没有涉及到验证码(部分软件能识别简单的验证码,一样能爆破)
3.web登录中没有失败次数封锁ip登录问题
因此:一个安全的防爆web登录页面需要的安全技术如上注意点
| 
发表于 2016-3-24 21:36
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2016-3-25 09:21
