Python密码暴力攻击前导

0

本篇概要

  • 密码攻击测试
  • 密码攻击测试的方法
  • 密码和账户策略

1

密码攻击测试是怎么进行的

密码攻击可能是暴力破解中最常见的一种类型,广泛的被使用在渗透测试的各个领域,比如Web应用、WiFi密码破解等。密码攻击又称为口令攻击,只要攻击者获得了用户的密码口令,就能够获取用户所拥有的所有权限。而密码攻击的一个主要方式就是字典攻击,通常在通过网站的扫描探测器扫描到了网站的后台目录,就可以使用字典进行密码测试了。

至于为什么使用字典进行密码攻击,当然,是因为很多用户选择设置弱口令密码来方便记忆;网站越来越多,需要注册的也越来越多,为了方便记忆,很多人为了省事,直接就使用什么“123456”、“qq123456789”、“zxs5201314”之类的密码,或者使用生日作为自己的密码。这样的密码方便是方便了,就是有点不安全。

通过字典进行的密码攻击,使用的字典文件通常是基于常用的英语单词、汉语拼音、数字和数字谐音来构建,以及基于上述的密码类型进行变形的字符、单词、数字等;

2

密码攻击测试的几种方法

基于字典的密码攻击虽然是直接依赖字典,但也有一些策略可循

  • 垂直扫描,对一个用户名进行所有的密码测试; 根据一个获取到的用户名,应用于字典中的所有密码口令;
  • 水平扫描:对多个用户名进行常见的密码测试; 对获取到的一批用户名,使用最常见的弱口令进行测试,比如“123456”。
  • 对角线扫描:对不用的用户名和不用的密码进行遍历密码测试; 对所有的用户名进行字典中所有的密码的测试,这个通过遍历来实现。
  • 三维扫描:使用上述三种扫描方式结合分布式的代理IP进行密码测试;
  • 四维扫描:基于上述四种方式,再设置时间间隔延迟进行扫描;

3

一些密码和账户策略

密码的设置规则,定义了密码质量的底线;

  • 密码长度 禁止短密码的设置;
  • 区分大小写:将大小写字母进行组合;
  • 允许多种字符:字母、符号、数字等 大写字母、小写字母、特殊符号加数字的组合;
  • 禁止重用:重设密码时禁止使用曾经使用过的密码; 对过去使用过的密码,拒绝在重设密码的使用;
  • 设置密码黑名单:禁止使用黑名单中的密码,比如123456,5201314等;

一些账户的策略,则能够有效提高账户安全:

  • 定期进行密码修改; 设置一个固定的时间间隔,当超过这个时间间隔,提醒用户修改密码;
  • 密码错误一定次数之后进行锁定; 现在很多站点已经添加了这个策略,在输入密码错误一定次数之后,将账户锁定一定的时间。

下一篇,我们将使用Python创建一个密码暴力攻击器,敬请期待!

PS:点击“阅读原文”依然是博客链接,欢迎来踩!

原文发布于微信公众号 - 州的先生(zmister2016)

原文发表时间:2017-11-27

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏linux驱动个人学习

android ninja【转】

使在Android N的系统上,初次使用了Ninja的编译系统。对于Ninja,最初的印象是用在了Chromium open source code的编译中,在...

771
来自专栏FreeBuf

使用VOLATILITY发现高级恶意软件

当一个公司被高级恶意软件感染,一个正确的应急响应应该是去识别恶意软件和修复系统,建立更好的安全控制体系来防止未来此类 事故的发生。在这篇文章中会介绍使用“内存取...

2145
来自专栏企鹅号快讯

GIT 检查、撤销修改简明教程

有趣有内涵的文章第一时间送达! ? 说明:本教程的所有操作都在master分支上,且仅用于个人代码仓库管理,操作的实用性有待研究。 4个区 ? 5种状态 未修改...

1708
来自专栏葡萄城控件技术团队

Silverlight4控件纯客户端注册验证

本文实现了一个实验性的Silverlight控件纯客户端注册验证机制。希望做过这方面的朋友多给些指导性意见。 先给大家介绍一下Silverlight客户端...

1905
来自专栏喵了个咪的博客空间

4.请求安全-- 结合使用的安全优势总结

#结合使用的安全优势与总结# ##前言## 写到这里基本上笔者在请求中遇到的问题,以及运用到实践中的解决方案,基本上分为,请求唯一性,单设备登录,单点登录,MD...

2354
来自专栏Seebug漏洞平台

Nginx权限提升漏洞(CVE-2016-1247 )分析

Author: xd0o1XD(知道创宇404实验室) data:2016-11-17 0x00 漏洞概述 1.漏洞简介 11月15日,国外安全研究员Dawi...

3396
来自专栏云计算教程系列

如何在Ubuntu 14.04上使用Rancher管理Jenkins

有效的持续集成(CI)是任何成功开发团队的核心要求。由于CI不是一线服务,因此通常可以在中间层或多余硬件上运行。为拉取请求,自动部署,验收测试,内容上传以及许多...

240
来自专栏Seebug漏洞平台

MetInfo 任意文件读取漏洞的修复与绕过

404实验室内部的WAM(Web应用监控程序,文末有关于WAM的介绍)监控到 MetInfo 版本更新,并且自动diff了文件,从diff上来看,应该是修复了一...

662
来自专栏Django中文社区

统计文章阅读量

如何精确地记录一篇文章的阅读量是一个比较复杂的问题,不过对于我们的博客来说,没有必要记录的那么精确。因此我们使用一种简单但有效的方式来记录博客文章的阅读量:文章...

3395
来自专栏安恒信息

安恒信息提示漏洞:CVE-2014-6271 bash远程命令执行漏洞

今日爆出CVE-2014-6271 bash远程命令执行漏洞。bash是Linux用户广泛使用的一款用于控制命令提示符工具,导致该漏洞影响范围甚广。同时,当HT...

2815

扫码关注云+社区