网站安全-浅谈用户密码暴力破解

网站安全里，用户密码被暴力破解，尤其网站的用户登录页面，以及网站后台管理登录页面，都会遭到攻击者的暴力破解，常见的网站攻击分SQL语句注入攻击，密码弱口令攻击，用户密码暴力破解攻击，跨站攻击XSS等等网站攻击方式。今天给大家讲解一下关于网站密码暴力破解的一些常用攻击手法，知彼知己，百战不殆。

网站用户登录的页面里包含了，用户的名称，以及用户密码，登录验证码，三个主要的页面功能，我们从最简单的角度去分析网站的用户密码是如何被破解的。首先获取到用户名，那么用户名该从哪里获取到呢？ 一般是通过看登录的提示语，比如提示该用户名不存在，以及网站新闻，以及公告里最上面的作者名字，通过网站域名查管理员的相关信息，利用注册邮箱名称，或者管理员的名字进行用户名的破解。然后接下来就是猜测用户名的密码，攻击者一般手里会有常用的密码字典，比如123456、以及123456789，,97654321，这些数字加字母组合的密码攻击字典，靠这些字典去暴力的破解用户的密码。

还有验证码绕过攻击，通过识别常用的验证码，以及刷新不重复的验证码，GET、POST抓包分析验证码的特征来直接绕过，或者通过验证码软件自动识别，自动填入来暴力破解用户的密码。

在这里我们科普一下网站数据的传输的方式型攻击特征，分为两个特征：

网站的密码明文传输方式，网站登录页面里没有任何验证，只有用户名密码，没有验证码环节，以及用户登录错误提示都没有的，这样是最受攻击者的喜欢，这样可以用服务器进行强力的破解，密码一般会在短时间内被破解出来，还有的利用明文传输的方式，使用工具，像BurpSuite配合自己的密码字典。

网站的JS加密传输方式攻击，现在大多数的网站都会在用户登录的时候才用JS加密，把密码加密成MD5比较复杂的密码公式，再发送到网站后端，也就是服务器端进行效验，解密，然后判断密码是否与数据库里的用户密码对应，像这样的JS加密，对于攻击者来说增加了破解的难度，大多数网站才用的都是加密方式，MD5密码加密方式，SHAL密码加密方式。常用的就是MD5的加密方式，攻击者通常会编写一段代码就是JS解密的，来进行破解用户的密码，或者编写pytho脚本来进行破解密码。