章节3:防御篇

news2024/12/24 2:40:13

章节3:防御篇

06 密码暴力破解的防御

暴力破解防御

  1. sleep
  2. Token
  3. 限制尝试次数,锁定账户

二次验证

在这里插入图片描述

在这里插入图片描述

reCAPTCHA(IP验证)

在这里插入图片描述

在这里插入图片描述

行为识别

在这里插入图片描述

在这里插入图片描述

WAF

在这里插入图片描述

强制修改密码

在这里插入图片描述

取消密码登录

segmentfault、知乎

个人用户安全建议

  1. 使用复杂密码
  2. 不同网站使用不同密码
  3. 定期修改密码
  4. 防止被钓鱼

钓鱼

在这里插入图片描述

07 其他暴力破解工具

wfuzz(kali)

  1. 猜参数

  2. 暴破密码

  3. 找出网站过滤的参数,比如SQL注入和XSS

  4. 目录扫描

  5. 压力测试

    ……

wfuzz -z file,user -z file,pass --hw x -d "username=FUZZ&password=FUZ2Z&submit=login" http://ip/pikachu/vul/burteforce/bf_form.php

Hydra(kail)

https://github.com/vanhauser-thc/thc-hydra

支持:

Asterisk, AFP, Cisco AAA, Cisco auth, Cisco enable, CVS, Firebird, FTP,HTTP-FORM-GET, HTTP-FORM-POST, HTTP-GET, HTTP-HEAD, HTTP-POST, HTTP-PROXY,HTTPS-FORM-GET, HTTPS-FORM-POST, HTTPS-GET, HTTPS-HEAD, HTTPS-POST,HTTP-Proxy, ICQ, IMAP, IRC, LDAP, MEMCACHED, MONGODB, MS-SQL, MYSQL, NCP, NNTP, Oracle Listener,Oracle SID, Oracle, PC-Anywhere, PCNFS, POP3, POSTGRES, Radmin, RDP, Rexec, Rlogin,Rsh, RTSP, SAP/R3, SIP, SMB, SMTP, SMTPEnum, SNMP v1+v2+v3, SOCKS5,SSH (v1 and v2), SSHKEY, Subversion, Teamspeak (TS2), Telnet, VMware-Auth,VNC and XMPP

参数解释
-R恢复上次中断的会话
-I忽略之前的会话文件
-SSSL连接
-s指定端口
-l用户名字典,-L 来自文件
-p密码字典,-P 来自文件
-x密码生成
-y禁用字符
-rrainy mode
-e循环测试用户名而不是密码
-C当用户名和密码存储到一个文件时使用此参数。注意,文件(字典)存储的格式必须为"用户名:密码"的格式。
-M批量暴破
-o输出的文件名
-b输出格式
-f一旦暴破成功一个就停止暴破
-t指定暴破时的任务数量(可以理解为线程数),默认为16
-T总并发数
-w每个线程的连接之间的响应等待时间
-c所有线程单次登录等待时间
-4/-6使用IPv4 / IPv6地址
-v显示暴破的详细信息
-O使用旧的SSL v2或v3版本
-q不打印有关连接错误的消息
-U服务模块使用详细信息

Hydra-Examples

hydra -l user -P passlist.txt ftp://ip

hydra -L userlist.txt -p defaultpw imap://ip/PLAIN

hydra -C defaults.txt -6 pop3s://[2001:db8::1]:143/TLS:DIGEST-MD5

hydra -l admin -p password ftp://[ip/24]/

hydra -L logins.txt -P pws.txt -M targets.txt ssh

在这里插入图片描述

Medusa

http://foofus.net/goons/jmk/medusa/medusa.html

支持AFP, CVS, FTP, HTTP, IMAP, MS-SQL, MySQL, NCP(NetWare),NNTP, PcAnywhere, POP3, PostgreSQL, rexec, rlogin, rsh, SMB, SMTP(AUTH/VRFY), SNMP, SSHv2, SVN, Telnet, VmAuthd, VNC

参数解释
-h主机名或者IP名
-H主机名或者IP名(文件)
-u用户名
-U用户名(文件)
-p密码
-P密码(文件)
-C指定测试格式为"user:password"的字典
-O将输出结果保存在指定文件
-e额外的密码检测(n:空密码s:用户名=密码)
-M指定执行的模块(不带.mod扩展名)
-m指定传递给模块的参数
-d查看支持破解的模块
-n指定非默认的TCP端口
-s启动SSL
-g设置连接超时时间(默认值3)
-r设置重试的次数(默认值3)
-R重试次数
-c验证socket连接是否可用的等待时间
-t设置同时测试的登录总数
-T设置同时测试的主机总数
-L一个线程使用一个用户名
-f在破解得到第一个用户名或密码后停止扫描主机
-F当在任何主机上破解得到第一个用户名或密码后停止扫描
-b不显示软件启动时的版本信息
-q显示模块的使用信息
-v详细等级(0-6)
-w错误调试等级(0-10)
-V显示版本信息
-Z恢复中止的扫描

在这里插入图片描述

msf辅助模块

msfconsole

use auxiliary/scanner/ssh/ssh_login

set RHOSTS ip

set PASS_FILE /root/vuln/pass

set USER_FILE /root/vuln/user

exploit

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/888149.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

python编程需要的电脑配置,python编程对电脑的要求

大家好,给大家分享一下python编程用什么笔记本电脑,很多人还不知道这一点。下面详细解释一下。现在让我们来看看! 不打游戏,只学编程。刚开始自学 Python小发猫伪原创,python下载需要花钱吗。 如果不搞机器学习的话,也…

centos7异常断电重启丢失系统引导。

起因: 公司机房意外断电,服务器断电异常关机,次日到达公司启动服务器,无法正常进入系统。 报错1: i8042: No controller found 报错2: Failed to mount /sysroot 排查思路: 通过报错可以看出系…

Linux网络编程(高并发服务器)

文章目录 前言一、什么是高并发服务器二、使用多线程和多进程实现高并发服务器的思路三、多进程服务器代码编写四、多线程服务器代码编写总结 前言 本篇文章带大家学习Linux网络编程中的高并发服务器。首先我们需要了解什么是高并发服务器,然后是学习如何来编写高并…

python——案例24:输出日历

案例24:输出日历import calendar #导入日历 yearint(2023) #设定年 moonint(8) #设定月print(calendar.month(year,moon))

黑客入侵:福特汽车Sync3车机存在漏洞,黑客入侵可抹除系统数据

据福特汽车公告,他们发现部分2021年至2022年车型的Sync3车机存在Wi-Fi漏洞,该漏洞可能被黑客利用来入侵并抹除车机内的系统数据。这一漏洞源于福特车系中采用的WL18xx MCP驱动程序的内存缓冲区溢位漏洞,其漏洞编号为CVE-2023-29468。 这一发现…

产品经理:实现一个微信输入框

近期在开发AI对话产品的时候为了提升用户体验增强了对话输入框的相关能力,产品初期阶段对话框只是一个单行输入框,导致在文本内容很多的时候体验很不好,所以进行体验升级,类似还原了微信输入框的功能(只是其中的一点点…

matlab保存图片

仅作为记录,大佬请跳过。 即可。 参考 感谢大佬博主文章:传送门

Java算法_ 检查对称树(LeetCode_Hot100)

题目描述:给你一个二叉树的根节点 , 检查它是否轴对称。root 获得更多?算法思路:代码文档,算法解析的私得。 运行效果 完整代码 /*** 2 * Author: LJJ* 3 * Date: 2023/8/17 8:47* 4*/ public class SymmetricTree {static class…

Journal of Cheminformatics投稿经验分享

期刊名: Journal of Cheminformatics期刊名缩写:J CHEMINFORMATICS期刊ISSN:1758-2946E-ISSN:1758-29462023年影响因子/JCR分区:8.6/Q1SCI分区: CHEMISTRY, MULTIDISCIPLINARY 化学综合3区COMPUTER SCIENCE, INFORMATION SYSTEMS 计算机:信息系统2区COMPUTER SCIENCE, I…

AgentBench:AI智能体的应用前景——生产端的应用

生产端的应用 相比于消费端,AI智能体作为生产力工具的潜力则更为巨大。在现实中,很多工作需要专业化的数据作为支撑,通用化大模型显然不能胜任,这就给专用型的AI智能体留下了空间。在实践中,人们已经用大模型训练了不少专用的AI智能体。比如,不久前北京大学团队发行了一…

linux内核异步内存回收的另一个思路:基于冷热文件的冷热区域精准的回收冷文件页page(内核ko方案)

本文介绍的针对pagecache的异步内存回收方案与现有的思路有很大不同:内存回收的单位是一个个文件,再把文件的pagecache分成一个个小单元(或者叫区域)。提前判断出文件那些区域是频繁访问的(热区域),哪些区域很少访问(冷区域)。异步内存回收线…

移动通信系统的LMS自适应波束成形技术matlab仿真

目录 1.算法运行效果图预览 2.算法运行软件版本 3.部分核心程序 4.算法理论概述 5.算法完整程序工程 1.算法运行效果图预览 2.算法运行软件版本 matlab2022a 3.部分核心程序 ..................................................................... idxx0; while idxx&…

深入探索Java中的File类与IO操作:从路径到文件的一切

文章目录 1. File类的作用与构造方法2. File类常用方法:获取、判断和创建2.1 获取功能方法2.2 判断功能方法2.3 创建和删除功能方法2.4 目录的遍历方法 3. 递归:探索更深的层次代码示例:递归遍历文件夹 结论 🎉欢迎来到Java学习路…

AI极客日报0817 - 微软、亚马逊如何借助AI提升用户体验?

👀AI 日报合集 | 🧡 点赞关注评论拜托啦! 曾经,很多企业对ChatGPT的开放性表示担忧。如今,这些顾虑即将成为过去——微软带来了一个答案,推出了名为Azure ChatGPT的私有开源版本。那么,这一新版…

nodejs+vue+elementui多媒体作品信息共享平台开发_s2uq7

武理多媒体信息共享平台主要有管理员和用户两个功能模块。以下将对这两个功能的作用进行详细的剖析。 管理员模块:管理员是系统中的核心用户,管理员登录后,可以对后台系统进行管理。主要功能有个人中心、用户管理、作品分类管理、作品信息管理…

数据分析工具都有哪些?

简单介绍一下,数据分析是指适当的统计分析方法对收集来的大量数据进行分析,将它们汇总和理解消化,以求最大化地开发数据的功能,发挥数据的作用。 那么数据分析有哪些工具呢,是不是都需要掌握?当然不是的&am…

嵌入式设备应用开发(程序、静态库、动态库、配置文件)

【 声明:版权所有,欢迎转载,请勿用于商业用途。 联系信箱:feixiaoxing @163.com】 一个程序要想正确地在设备上运行起来,那么基本步骤就是,首先编写好程序代码,接着用交叉编译器编译出来,最后将这个程序拷贝到嵌入式设备上。然后,我们可以通过console控制台的…

【图像分类】基于卷积神经网络和主动学习的高光谱图像分类(Matlab代码实现)

💥💥💞💞欢迎来到本博客❤️❤️💥💥 🏆博主优势:🌞🌞🌞博客内容尽量做到思维缜密,逻辑清晰,为了方便读者。 ⛳️座右铭&a…

【使用 k 折叠交叉验证的卷积神经网络(CNN)】基于卷积神经网络的无特征EMG模式识别研究(Matlab代码实现)

💥💥💞💞欢迎来到本博客❤️❤️💥💥 🏆博主优势:🌞🌞🌞博客内容尽量做到思维缜密,逻辑清晰,为了方便读者。 ⛳️座右铭&a…

4.Vue

1.什么是Vue Vue是一套前端框架,免除原生JavaScript中的DOM操作,简化书写。 基于**MVVM(Model-View-ViewModel)思想,实现数据双向绑定**,将编程的关注点放在数据上。 官网:https://v2.cn.vuejs.org/ 框架&#xff1…