暴力破解原理

根据我国网络安全法，仅用于网络安全交流学习。

暴力破解产生的原因是由于服务器端没有做限制，导致攻击者可以暴力破解的破解所需要的信息。例如用户名， 密码，验证码；暴力破解的需要有有一个强大的字典。这也是暴力破解成功的关键。

这里是我保存的多种类型密码的字典，此外还有字典生成工具；（需要各类工具的伙伴可以关注私信我）

比如：当你的姓名，生日，电话号等信息泄露，恶意用户会使用字典生成器，然后列出很多可能格式的密码。通过暴力破解穷尽所有结果。

暴力破解实验

实验工具：火狐浏览器，burp suite，DVWA
实验目的：通过暴力破方式破解密码，熟悉暴力破解过程

实验过程

1、在火狐浏览器，打开DVWA平台，选择暴力破解模块；
随便输入用户名和密码，打开本地代理工具，选择登录

2、打开burpsuite抓包工具，抓取修改密码数据包，并将数据包放入burp suite爆破模块，如下：

3、选择攻击类型为cluster bomb，我们将要暴力破解的地方加上美元符号“$”因为他本身就带有美元符号，所以可以先清除全部的美元符号在你需要加的地方加上美元符号。

4、我们需要爆破的第一个模块是用户名，点击LOAD上传，事先准备好的字典文本.txt文件。然后选择下拉框选择2，同理上传密码字典。

5、点击start attract开始爆破，这样我的两个字典就会产生映射，枚举出所有的结果，只要字典足够强大，成功只是时间问题；

6、等一段时间，破解结果为:账号admin,密码666666，然后我们尝试登录，验证结果；登录成功

源码分析

服务器接受了GET参数，账号和密码参数；然后再数据库查询账号密码是否正确，若正确则登陆成功，这里没有设置登陆限制次数，只要用户一直尝试登录，就可以暴力破解。

暴力破解的防护

1、网站开发人员尽量有动态验证
3、限制登录次数阈值，超过限制登录
4、同一IP多次登录，锁定此IP地址
2、轻易不要泄露自己的个人信息