互联网时代黑客如何威胁你的资产？Web业务安全测试( 二 ) _黑客

6、进入登录页面：通过Command（命令提示符号）窗口，输入IP config，将IP config中显示无线局域网适配地址复制，到登录页面上将地址127.0.0.1改为该登录地址，再次登录，由于传输过程中，使用了SHA256进行传输，所以选择用户名与密码时可发现，密码会变得很长。

文章插图

7、启用拦截：成功登录后就可以开始抓包，将拦截禁用改为拦截请求，启用后开始拦包。
8、登录操作：返回登录页面输入用户名密码登录，发现页面不变。
9、拦截包：因为包已被Burp suite直接拦截。
10、发往测试器：将拦截的包发送至intruder，在测试器中会对默认选项进行标记，成为参数，我们只需要针对用户名和密码进行暴力破解，将不需要进行参数化的选项前的§删除，由于存在CSRF token，需要把值保持一致，最后剩下两个参数：用户名与密码。

文章插图

文章插图

11、设置攻击类型：这里选用集束炸弹攻击，攻击类型有两种：音叉攻击与集束炸弹。音叉攻击是用户名与密码一一对应的，需要两组字典，每组字典中的一行对应另一组的对应行；集束炸弹是在账号密码均未知的情况下，对他们同时进行暴力破解，需要两组字典，每组字典的账号，密码都会去匹配另一组的账号所有的密码。

文章插图

12、载入攻击字典：再点击有效负荷，清屏后载入事先设置好的用户名和密码。
13、设置有效负载处理：密码传输过程中需要进行SHA256加密处理，所以在有效负载处理中选择合适的Hash算法。
14、开始攻击：以上步骤设置完毕，就可以开始攻击。若破解不成功，在“响应”的body里会看到“用户名或者密码错误”，若破解成功，则响应代码是直接302反向跳转。使用Burp suite进行暴力破解，就这个案例，可参考字节长度或者状态来判断是否成功，没有成功破解的是直接返回登录页面，因此字节数较长，而破解成功的字节数不需要跳转，因此字节数比较短。
暴力破解的注意事项：
1、不要使用浏览器自带的代理设置，选择 “控制面板”中的internet-连接中的设置。
2、不用勾选“使用自动配置脚本” 。
3、打开Burp suite，先禁用拦截，配置环境，环境配置完毕，再启用拦截。
4、如下图，“起动中”前的√一定要勾上。
5、截包必须使用真实IP地址，不要使用127.0.0.1或localhost，用Command里面的用IP config 。
6、破解字典是区分大小写的。

文章插图

暴力破解——JMeter测试工具
打开控制面板，启动程序，用网页打开测试程序能否使用，确认能使用后，打开JMeter，在登录界面打开事先准备好的脚本，由于JMeter无法使用集束炸弹，因此使用音叉方法来进行，需要一个用户名对应一个密码，然后进行发包。

文章插图

在登录验证界面可查看，登录验证字体是绿色的即是破解成功，红色的则是失败。找到成功破解的绿色登录验证，再通过Debug Sampler找到用户名与密码。
注意所有通过Burp suite进行测试的工作均可以通过JMeter实现。
暴力破解看似对白帽黑客并无用处，实际上并非如此，一般程序都是由用户自行设置用户名与密码的，企业可以先行对产品进行一次暴力破解，筛选出过于简单易被破解的密码，用邮件或者短信的方式通知用户修改用户名与密码，甚至可以设定强制性修改密码。若能提供这样的服务，则能给用户带来更好的体验感，这种情况下，测试可以作为一项增值业务。
篡改用户名登录信息测试步骤：
1、设置internet网络代理
2、启动Burp suite
3、进入登录页面
4、输入用户名、密码
5、拦截请求包
6、修改cookies用户名为未注册用户
7、发送请求包
8、观察情况
输入已注册过的A的用户名密码进行登录，打开Burp suite，登录后抓包模块会被截取，在此输入登录信息，会看见A的用户名与密码的信息，用户名是放在username的cookie中的，点击“行动”选择发送到repeater中，在repeater里，可以改cookie-username为已有的另一用户名B，最终登录的是A的账号，而显示的是B的用户名。点击发送，可进入商品列表，若我们把用户名改为一个未注册过的用户，cookie中显示的是该新用户，发送后仍可进入商品列表。这就是存在的一个缺陷，对于此缺陷，可采用以下方法防御：