Web应用程序暴力破解攻击技术详解

暴力攻击概述

暴力攻击是通过利用密码管理缺陷来入侵系统的最简单实用的方法。Web应用程序和Web服务特别容易受到此类攻击，原因包括：

• 相对容易访问且数量众多
• 默认允许远程使用
• 大部分是自定义实现
• 随Web技术不断变化

基本身份验证攻击

基本身份验证特点

• 万维网初期的认证标准
• 使用Base64编码的用户名和密码
• 通过Authorization头部实现
• 仍广泛应用于路由器管理界面、Web服务等

攻击步骤

1. 配置Fuzzer工具（如AppBandit）
2. 设置Authorization头部
3. 构建用户名列表：
   • 使用已知账户
   • 或通用字典（如seclists）
4. 构建密码字典：
   • 使用工具内置字典
   • 或下载安全社区提供的字典
5. 优化攻击参数：
   • 最大并行请求数设为60+
   • 超时时间减少为5秒
6. 通过响应代码识别成功破解

基于PIN的身份验证攻击

PIN验证特点

• 使用4-6位数字代码
• 常见于移动应用和双因子认证
• 开发者常低估其脆弱性

攻击方法

1. 配置请求报文符合服务要求
2. 对PIN生成器进行JSON编码
3. 使用格式项填充确保PIN长度：
   • 4位PIN：计数器从0到9999
   • 不足位数用0填充
4. 设置攻击参数：
   • 增加并发请求数
   • 减少超时时间
5. 识别成功尝试：
   • 监视内容长度变化
   • 状态码变化（如302重定向）
   • 响应时间差异（时间试探法）

基于表单的身份验证攻击

表单验证特点

• 最常见的认证方案
• PHP应用实现常不理想
• 应具备抵御自动化猜测的能力

攻击策略

1. 捕获认证参数：
   • 使用AppBandit代理或HTTPView工具
   • 直接从浏览器捕获请求
2. 用户名策略：
   • 当用户名是邮箱时，动态生成账户
   • 使用字典（如seclists）生成常见用户名
3. 密码策略：
   • 对多个账户测试少量常用密码
   • 而非对单个账户测试大量密码
4. 识别成功登录：
   • 查找包含有效cookie的响应
   • 监视会话标识符变化
   • 使用内置过滤器识别认证成功特征

攻击注意事项与变体

账户锁定机制

• 可能被利用进行DoS攻击：
  • 当用户名可猜测或顺序时
  • 锁定大量合法用户
• 水平与垂直攻击转换：
  • 对多个账户测试一个密码（水平）
  • 而非对单个账户测试多个密码（垂直）

IP限制绕过

• 共享IP网络（如移动网络）可能被误封
• 攻击者可入侵例外列表中的网络
• 或伪装来自例外网络绕过限制

CAPTCHA问题

• reCAPTCHA等系统常配置错误
• 有时仅作为摆设未实际启用检查
• 不能仅凭CAPTCHA存在就认定安全

会话管理问题

• 注销可能不真正销毁会话
• 旧会话可能被攻击者重用
• 有时无需密码即可登录

防御局限性

目前没有完全抵御暴力攻击的方法：

• 只要依赖密码，攻击就不可避免
• 双因子认证提供更高安全性但非万能
• 防御机制将在后续文章中讨论

总结

暴力破解攻击具有多种实现方式，是Web应用安全中的普遍威胁。攻击者可根据目标认证类型（基本认证、PIN认证或表单认证）选择适当策略，并通过各种试探法识别成功破解。理解这些攻击技术对于构建有效的防御机制至关重要。