专栏名称: 哈拉少安全小队
专注安全研究,漏洞复现,代码审计,python poc/exp脚本开发,经常更新一些最新的漏洞复现,漏洞分析文章,以及脱敏的实战文章。
今天看啥  ›  专栏  ›  哈拉少安全小队

爆破及喷洒过程中与常见限制机制的对抗思路

哈拉少安全小队  · 公众号  ·  · 2024-10-11 18:43
    

文章预览

1.前言 在渗透测试过程中,我们经常见到各种各样的后台,通常来说,能直接进入后台,或者能调用后台的功能,能帮助攻击者快速打开一些突破口,或者通过后台中的敏感信息实现“以战养战”的效果。抛去登录口的大量常见问题以外,我们最常用、最简单、最直接的进入后台手法无疑就是密码喷洒以及爆破,而围绕着这个点,防守方和运维实际上会使用非常多的限制手法,常见的主要可归纳为四类: Ⅰ . 编码 & 加密 & 验签类(使用现有编码 & 加密、使用自写加密、对数据包进行验签) Ⅱ . 验证码类(图形验证码、滑动验证码、计算验证码等等) Ⅲ . 错误次数限制类(根据单个用户名错误次数 根据总错误次数) Ⅳ . 特殊登录方式 & 多因素认证类(手机、邮箱验证码登录 qq 、微信、钉钉扫码登陆等) 对于第一类,我们已经有诸如 Selenium 甚至 ………………………………

原文地址:访问原文地址
快照地址: 访问文章快照
总结与预览地址:访问总结与预览