一、暴力破解
指攻击者通过遍历或字典的方式,向目标发起大量请求,通过判断返回数据包的特征来找出正确的验证信息,从而绕过验证机制。
二、常见场景
用户登录处的账号密码暴力破解;
人机验证机制容易绕过,如使用交易识别的验证码;
找回密码或二次身份验证等可能用到的手机短信验证码;
三、防御措施
强制使用强密码,定期修改;
限制密码错误尝试次数;
使用强人机验证机制;
限制一定事件内的高频访问次数;
相关文章
- Web安全之充分利用 X-Content-Type-Options
- web应用安全测试之信息泄露
- 网络安全产品之认识WEB应用防火墙
- web安全漏洞之ssrf入门
- web安全漏洞之xss(1)- 什么是xss
- NGINX 保护 Web 应用安全之基于 IP 地址的访问
- Web安全之SQL注入(原理,绕过,防御)
- web安全之SQL注入
- 【渗透课程】第四篇-Web安全之信息探测
- Web安全测试之XSS(跨站脚本攻击) XSS 全称(Cross Site Scripting) 跨站脚本攻击, 是Web程序中最常见的漏洞。指攻击者在网页中嵌入客户端脚本(例如JavaScript), 当用户浏览此网页时,脚本就会在用户的浏览器上执行,从而达到攻击者的目的. 比如获取用户的Cookie,导航到恶意网站,携带木马等。