趙　星

(中北大學(xué) 軟件學(xué)院，山西 太原 030051)

?

網(wǎng)站暴力破解攻擊及防御措施

趙星

(中北大學(xué) 軟件學(xué)院，山西 太原 030051)

摘要：網(wǎng)站安全形勢不容樂觀。為了進一步研究網(wǎng)站面臨的安全問題，本文主要介紹了BurpSuite工具，并演示了如何利用BurpSuite工具暴力破解網(wǎng)站密碼，并針對此類攻擊給出了具體的防御措施。

關(guān)鍵詞：網(wǎng)絡(luò)安全；網(wǎng)站入侵；BurpSuite；破解

早期互聯(lián)網(wǎng)中，Web并非互聯(lián)網(wǎng)的主流應(yīng)用，基于FTP、SMTP、POP3等協(xié)議的服務(wù)擁有著絕大多數(shù)的用戶。因此黑客們主要的攻擊目標(biāo)是網(wǎng)絡(luò)、OS等領(lǐng)域，Web安全領(lǐng)域的攻擊和防御技術(shù)處于初始階段[1]。

隨著技術(shù)的發(fā)展，防火墻技術(shù)的應(yīng)用使得暴露在互聯(lián)網(wǎng)上的非Web服務(wù)器越來越少，且Web技術(shù)的成熟使得Web應(yīng)用的功能越來越強大，最終成為互聯(lián)網(wǎng)的主流。Web安全涉及到客戶端腳本安全、服務(wù)器端應(yīng)用安全等等，本文將介紹BurpSuite在網(wǎng)站入侵方面的出色表現(xiàn)，并重點介紹如何防御此類暴力破解攻擊。

1BurpSuite工具介紹

BurpSuite是用于攻擊web應(yīng)用程序的集成平臺，主要集成了以下功能。代理工具Proxy：可以攔截HTTP數(shù)據(jù)包，作為一個在瀏覽器和目標(biāo)應(yīng)用程序之間的中間人，允許攔截、查看、修改在兩個方向上的原始數(shù)據(jù)流[2]。爬蟲工具Spider：它是智能感應(yīng)的網(wǎng)絡(luò)爬蟲，它能完整的枚舉應(yīng)用程序的內(nèi)容和功能。掃描工具Scanner：能自動地發(fā)現(xiàn)web應(yīng)用程序的安全漏洞。入侵工具Intruder：一個定制的高度可配置的工具，對web應(yīng)用程序進行自動化攻擊，如：枚舉標(biāo)識符，收集有用的數(shù)據(jù)，以及使用fuzzing技術(shù)探測常規(guī)漏洞。中繼器工具Repeater：需要手動操作來觸請求，并對返回數(shù)據(jù)包進行分析的工具。解碼器工具Decoder：對數(shù)據(jù)進行編碼的工具。

首先打開瀏覽器代理功能，以微軟的IE 9瀏覽器為例：Internet選項—連接—局域網(wǎng)設(shè)置—勾選代理服務(wù)器填寫地址127.0.0.1，代理端口8080，然后在BurpSuite的代理工具里進行設(shè)置，Proxy—Options—Add，并添加代理地址127.0.0.1和端口8080，代理Proxy的intercept選項下有四個子選項。

Forward選項：當(dāng)編輯信息之后，發(fā)送信息到服務(wù)器或瀏覽器。

Drop選項：當(dāng)不想要發(fā)送這次信息可以點擊drop放棄這個攔截信息。

Interception is on/off選項：如果按鈕顯示Interception is on，表示請求和響應(yīng)將被攔截或自動轉(zhuǎn)發(fā)根據(jù)配置的攔截規(guī)則配置代理選項，如果按鈕顯示Interception is off則顯示攔截之后的所有信息將自動轉(zhuǎn)發(fā)。

Action選項：說明一個菜單可用的動作行為操作可以有哪些操作功能。

當(dāng)數(shù)據(jù)包被截斷以后就可以將其發(fā)送到中繼器工具Repeater中進行模擬提交，發(fā)往入侵工具Intruder進行一下暴力破解攻擊等等，發(fā)往掃描工具Scanner可以進一步發(fā)現(xiàn)web應(yīng)用程序的安全漏洞等。

2演示入侵網(wǎng)站

2.1嘗試登錄該站點

由于不知道該站點存在哪些用戶，以及哪些用戶會存在弱口令，先嘗試使用一些默認用戶名和密碼進行登錄，但提示該錯誤信息，說明登錄失敗。經(jīng)過測試發(fā)現(xiàn)該站點為aspx站點，嘗試使用aspx萬能密碼or′=′or′登錄該站點，也提示錯誤信息，詳見圖1。

圖1　錯誤信息

2.2轉(zhuǎn)換思路嘗試注冊

點擊注冊，如圖2所示，進入注冊頁面后發(fā)現(xiàn)，注冊需要填寫真實姓名，并且管理員需要進行審核，此種方法還是行不通。

圖2　注冊頁面

在圖2中可以發(fā)現(xiàn)用戶名為6~10位數(shù)字，這時可以采取一種策略，采取弱口令來遍歷用戶名，比如此處使用密碼“123456”，嘗試登錄不同的用戶名。下邊以用戶名：test密碼：123456來登錄該系統(tǒng)，登錄前把瀏覽器代理和BurpSuite代理都打開，抓包結(jié)果如圖3。

圖3　抓包結(jié)果

把該數(shù)據(jù)包發(fā)送到Intruder中，在Positions中取消所有變量payloads標(biāo)記，然后添加用戶名payloads標(biāo)記userTxB=§test§，如圖4。

圖4　設(shè)置payload

然后在Intruder的payloads子選項中選擇Payloads type為Numbers，設(shè)置遍歷從000000-9999999999，完成用戶名的遍歷，根據(jù)登錄成功與失敗返回的數(shù)據(jù)包情況不同，可以判斷那些為登錄成功的數(shù)據(jù)包，圖5可看出，用戶名為123456，密碼為123456的用戶存在。然后使用用戶名：123456，密碼：123456嘗試登錄該系統(tǒng)，可成功登錄該系統(tǒng)，登錄進入系統(tǒng)后可以看到一些敏感信息，入侵成功如圖6所示。

圖5　爆破結(jié)果

圖6　入侵成功

4防御措施

未知攻焉知防，知道了攻擊的過程是通過遍歷的方式進行暴力破解攻擊的，那么針對這種暴力破解攻擊給出針對性的解決意見。

4.1技術(shù)方面

4.1.1驗證碼

驗證碼被認為是對抗暴力破解攻擊最簡潔而有效的防御方法。暴力破解時可以遍歷用戶名和密碼，但每次遍歷時無法預(yù)測變化的驗證碼，如果輸入的驗證碼不正確則無法完成最終請求。因此在通常情況下，驗證碼能夠很好地遏制暴力破解工具。

但是驗證碼并非萬能。很多時候，處于用戶體現(xiàn)考慮，網(wǎng)站不可能給所有的操作都加上驗證碼。因此，驗證碼只能作為防御暴力破解的一種輔助手段，而不能作為最主要的解決方案。

4.1.2限制錯誤登錄次數(shù)

如果某一用戶在短時間內(nèi)多次錯誤輸入密碼，可判定可能存在暴力破解的風(fēng)險，在網(wǎng)站建設(shè)時可以在代碼層面做出防護措施，核心代碼如下：

if($username==user){

//這里用戶可以試著登陸3次

if($row['login_times']>2){

$current=time();

$passed_time=$current-$row['login_date'];

echo '現(xiàn)在已經(jīng)過了'.$passed_time.'秒
';

//設(shè)定時間900秒，在此時間段內(nèi)，特定用戶不能登陸系統(tǒng)

if(($current-$row['login_date'])<900){

if($pw==pw){

exit('密碼輸入錯誤次數(shù)大于三次，請在15分鐘后登陸系統(tǒng)!');

}

if($pw!=pw){

exit('密碼輸入錯誤次數(shù)大于三次，請在15分鐘后登陸系統(tǒng)!');

}

}

}

4.1.3增加一個判斷機制

通常攻擊者要進行暴破時會先觀察一下網(wǎng)站，比如密碼的提交方式(POST還是GET)、密碼錯誤的提示。然后根據(jù)這些信息來配置攻擊參數(shù)，當(dāng)然現(xiàn)在大部分的密碼的提交方式是POST，再加上一個GET驗證，這樣可以通過xxx.php?url=ADmin來正常登陸，而攻擊者只能抱著xxx.php破解。這樣暴力破解工具就失效了。

未加GET驗證前代碼如下：

// … some code

$pass= “密碼”;

if($_POST['pass']==$pass)

{

echo”登錄成功！”;

// … some code

}

//…some code

?>

添加GET驗證后代碼如下：

// … some code

$pass= “密碼”;

if($_POST['pass']==$pass)

{

if($_GET['url'] == “ADmin”)

{

echo”登錄成功！”;

// … some code

}

}

?>

4.2管理方面

4.2.1加強教育，制定企業(yè)級安全策略

公司企業(yè)應(yīng)根據(jù)自身實際情況，制定切實可行的公司級安全策略，如密碼體系安全策略如下：

1) 密碼中不得含有個人信息。

2) 形式上，應(yīng)該至少包括以下字符類別中的三組：大寫字母、小寫字母、數(shù)字、非數(shù)字符號(如&<@*!$》_等)。

3) 對密碼的長度做必要的限制，核心系統(tǒng)應(yīng)考慮雙因素認證。

4.2.2加強管理，持續(xù)檢查

定期對公司資產(chǎn)進行等級劃分，威脅分析，風(fēng)險分析，確定解決方案，安全是一個持續(xù)的過程，需要通過安全運營不斷地去發(fā)現(xiàn)問題，周期性地做安全檢查。解決方案一定要有針對性，這種針對性是有資產(chǎn)等級劃分、威脅分析、風(fēng)險分析等階段的結(jié)果給出的。再次強調(diào)：安全是一個持續(xù)的過程。

5總結(jié)

針對此類暴力破解的安全的問題，網(wǎng)站可以通過添加驗證碼的方式使得暴力破解方式失效，也可以檢查一個帳號在一段時間內(nèi)的登錄失敗次數(shù)，或者檢測某一IP地址在一段時間內(nèi)的登錄行為次數(shù)來判斷是否發(fā)生暴力破解。安全是一門樸素的學(xué)問，也是一種平衡的藝術(shù)，但只要能抓住安全的本質(zhì)，之后無論遇到任何安全問題，都會無往而不利，因為我們已經(jīng)真正地懂得了如何用安全的眼光看待這個世界。

參考文獻

[1]吳翰清.白帽子講Web安全[M].北京：電子工業(yè)出版社，2014.

[2]張炳帥. Web安全深度剖析[M].北京：電子工業(yè)出版社，2015.

Website Brute Force Attack and Defensive Measures

Zhao Xing

(SoftwareCollege,NorthUniversityofChina,TaiyuanShanxi030051,China)

Abstract:The Site security situation is not optimistic. To further study the safety issues that the websites faced, this paper introduces the BurpSuite tool and demonstrates how to use the tool brute BurpSuite to crack the website passwords, and for such an attack, a specific defense measure is given.

Key words:Cyber security; Website invasion; BurpSuite; cracked

中圖分類號：TP309.2

文獻標(biāo)識碼：A

文章編號：1674- 4578(2016)01- 0052- 03

作者簡介：趙星(1990- )，男，安徽淮南人，研究生，研究方向：網(wǎng)絡(luò)安全。

收稿日期：2015-11-08