暴力破解原理
暴力破解是用户自定义字典文件中的内容与验证程序交互,从而在枚举过程中得到正确数据
案例:
破解用户名、密码破解验证码-之前四位数的手机验证码在未进行任何防护措施,导致被枚举出来
暴力破解的基础应用程序或服务器未进行限制具有内容涵盖全方面的字典文件
暴力破解方式
根据破解的验证码内容是否处于服务状态将暴力破解分为以下两类:
1.在线破解
2.离线破解
无论是在线还是离线是否可以破解成功都取决于字典文件内容的强大。同时破解速度的瓶颈在于本地机器与服务器性能、带宽等因素。
用BurpSuit抓包演示
将登陆页面信息拦截并发送到intruder模块
设置暴力要破解的参数
使用准备好的密码字典
密码是唯一的,暴力破解结束后根据长度判断正确密码