身份验证是应用程序防止未经授权访问的核心。如果攻击者能够打破应用程序的身份验证功能,则他们可以拥有整个应用程序。
以下教程展示了一种使用“ Mutillidae”培训工具中的模拟登录页面绕过身份验证的技术。我们正在使用的“ Mutillidae”的版本取自OWASP破碎的Web应用程序项目。beplay体育能用吗找出如何下载,安装和使用此项目。
回到打bur。
在里面代理人“拦截”选项卡,确保“截距”打开”。
在您的浏览器中,在登录页面中输入一些任意详细信息并提交请求。
通过使用请求编辑器右侧的“清除”按钮清除预设有效负载位置。
通过突出显示并使用“添加”按钮,添加“用户名”和“密码”参数值作为位置。
使用“攻击类型”下拉菜单将攻击更改为“聚集炸弹”。
去”有效载荷“ 标签。
在“有效负载集”设置中,请确保“有效负载集”为“ 1”和“有效负载类型”设置为“简单列表”。
在里面 ”有效负载选项“设置输入一些可能的用户名。您可以手动执行此操作或使用自定义或预设有效载荷列表。
接下来,在“有效负载集”选项中,将“有效负载”设置为“ 2”。
在“有效负载选项”中,设置输入一些可能的密码。您可以手动执行此操作或使用自定义或预设列表。
单击“开始攻击”按钮。
在里面 ”入侵者攻击“窗口您可以使用列标题对结果进行排序。
在此示例中,按“长度”和“状态”排序。
该表现在为我们提供了一些有趣的结果,以进行进一步研究。
通过在攻击窗口中查看响应,我们可以看到请求118被记录为“ admin”。
为确认蛮力攻击已经成功,请在Web应用程序的登录页面上使用收集的信息(用户名和密码)。beplay体育能用吗
帐户锁定
在某些情况下,强迫登录页面可能会导致应用程序锁定用户帐户。这可能是由于基于一定数量的登录尝试。
尽管旨在保护帐户,但此类政策通常会引起进一步的脆弱性。恶意用户可能能够锁定多个帐户,从而拒绝对系统的访问。
此外,锁定帐户可能会导致应用程序行为的差异,应探讨并可能利用此行为。
详细的失败消息
如上所述,登录需要用户名和密码,可以通过指示故障原因是未识别的用户名还是不正确的密码来响应失败的登录尝试。
在这种情况下,您可以使用自动攻击通过大量常见用户名列表进行迭代,以枚举哪些有效。
列举的用户名列表可以用作各种后续攻击的基础,包括密码猜测,对用户数据或会话的攻击或社交工程。