爆破及喷洒过程中与常见限制机制的对抗思路

文章预览

1.前言 在渗透测试过程中，我们经常见到各种各样的后台，通常来说，能直接进入后台，或者能调用后台的功能，能帮助攻击者快速打开一些突破口，或者通过后台中的敏感信息实现“以战养战”的效果。抛去登录口的大量常见问题以外，我们最常用、最简单、最直接的进入后台手法无疑就是密码喷洒以及爆破，而围绕着这个点，防守方和运维实际上会使用非常多的限制手法，常见的主要可归纳为四类： Ⅰ . 编码 & 加密 & 验签类（使用现有编码 & 加密、使用自写加密、对数据包进行验签） Ⅱ . 验证码类（图形验证码、滑动验证码、计算验证码等等） Ⅲ . 错误次数限制类（根据单个用户名错误次数 根据总错误次数） Ⅳ . 特殊登录方式 & 多因素认证类（手机、邮箱验证码登录 qq 、微信、钉钉扫码登陆等） 对于第一类，我们已经有诸如 Selenium 甚至 ………………………………