返回
web安全实践(12)密码探测

web安全实践(12)密码探测

ID:9429872

大小:54.50 KB

页数:5页

时间:2018-04-30

web安全实践(12)密码探测_第1页
web安全实践(12)密码探测_第2页
web安全实践(12)密码探测_第3页
web安全实践(12)密码探测_第4页
web安全实践(12)密码探测_第5页
资源描述:

《web安全实践(12)密码探测》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库

1、Web安全实践(12)密码探测~教育资源库  园友Hunts.C昨天留言谈到了校内网,他说就是个用户ID和邮箱,实际上这里的用户ID就是用户名的作用啊。只不过它的登录是使用邮箱登录,其实校内网支持的登录方式为用户名登录和邮箱登陆两种方式,另外对每个用户都分配了唯一的ID。Hunts.C说的对,ID和用户名的作用是相同的,但是对于用户名枚举来说,ID是对用户名的隐藏,因为用ID是不能登陆的。  这一次要说的内容比较少。  正文  12.1自动化密码探测  所谓自动化密码探测就是利用探测软件不断的向目标发出请求,根据响应来判断探测成功与否。  自动化探测一般有两种方式。一是对

2、同一用户名尝试不同的密码,二是对不同的用户尝试相同的密码。第二种方法更能有效的防止账户锁定。  对于用户名和密码生成有两种方式,一是使用既存的字典,二是程序根据使用者给定的用户名或密码组合规则不断生成。  对于自动化密码探测最大的障碍是验证码和人机区分测试(简单的问题)。  12.2社会工程学  社会工程学这个词我不知道是怎么产生的,一开始觉得叫行为心理学似乎更合适。后来才知道社会工程学其实就是间谍活动。  (1)推测法。根据相关信息,常见的如生日,姓名,号码,常用的数字组合(1213456等),字母组合,邮箱,父母的名字等等。  (2)欺骗。你可以根据他给你的等信息,通

3、过聊天逐步得到他的相关信息。  (3)利用客服。比如你可以冒充邮箱用户本人给客服打说密码丢失。以前听说可以,前天园友告诉我yahoo的信箱也可以,真是不可思议。  (4)社会工程允许你以接近目标本人或他的家人,朋友的方式来获得你想要的信息,当然这个l,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8Accept-Language:zh-,zh;q=0.5Accept-Encoding:gzip,deflateAccept-Charset:gb2312,utf-8;q=0.7,*;q=0.7Keep-Alive:30

4、0Connection:keep-aliveReferer:SysHome.doCookie:syshomeforreg=1;isnea=204579609.1392121359.1231048483.1231048483.1231048483.1;__utmb=204579609;__utmc=204579609;__utmz=204579609.1231048483.1.1.utmc=(direct)

5、utmcsr=(direct)

6、utmcmd=(none);_de=8EAD38BFFD04FDBE;userid=201573034;univid=5426;gend

7、er=1;univyear=2005;hostid=201573034;BIGipServerpool_profile=3737916938.20480.0000;xn_app_histo_201573034=6-35-17954-4-8-16555-12012-3-2-13496-19;mop_uniq_ckid=123.189.16.137_1231047874_1991448146Content-Type:application/x--form-urlencodedContent-Length:83email=xuanhunpassp;origURL=http%3A

8、%2F%2F.xiaonei.%2FSysHome.do  这是一个常规的Post请求数据段,最后的部分传送的是用户名和密码,这些数据在网络上传输的时候应该是被加密的,因为采用了https连接。暴力探测也就是不断的向目标服务器发送类似的请求,根据响应来判断是否成功。  12.4关于程序设计  具体的暴力破解程序的设计不是几句话就能说清楚的,希望有机会把具体的程序展示出来。  下面是一段自动登录的代码,展示了暴力破解的一个横断面。具体可参Httpethod=POST;//post  request.ContentType=application/x--form-urlenc

9、oded;request.ContentLength=data.Length;request.UserAgent=Mozilla/4.0(patible;MSIE7.0;Windone=request.GetReques12下一页友情提醒:,特别!tStream();ne.stream=response.GetResponseStream();stringresult=neReader(stream,System.Text.Encoding.Default).ReadToEnd();returnresult;  如果你理解了如

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。