软件开发网站建设维护wordpress login form

软件开发网站建设维护,wordpress login form,新北区城乡建设局网站,做企业网站需要什么条件1.作用与原理 原理#xff1a;对请求参数进行修改#xff0c;分析响应内容#xff0c;获得特征数据 本质#xff1a;1.自动化发起HTTP请求#xff1b;2.基于现成字典或者生成字典 用途#xff1a; 1.猜测用户名#xff0c;密码等#xff1b; 2.寻找参数、目录等 …1.作用与原理原理对请求参数进行修改分析响应内容获得特征数据本质1.自动化发起HTTP请求2.基于现成字典或者生成字典用途1.猜测用户名密码等2.寻找参数、目录等3.枚举商品ID验证码等4.模糊测试FUZZ可替代工具wfuzz(全部功能)dirb(目录扫描)hydra(爆破)2.案例实现暴力破解靶场DVWA(需要配置PHP,Apache服务器这些可以自己去搜索有很多教程)1.使用BP自带的浏览器open broswer靶场界面要先在php上开启服务否则会报错把安全级别改为low首先假设知道用户名的情况这里用户名为admin开启代理点击login ,就可以抓到包右键send to intruder这里要攻击的是密码字段的值选中密码的值添加,攻击模式选择sniper精准打击.intruder模块中有四种攻击模式sniper,battering ram,pitchfork,cluster bomb(后面会依次介绍)接下来设置payloadpayload type官网链接https://portswigger.net/burp/documentation/desktop/tools/intruder/payloads/types类别名称描述simple list简单字典添加粘贴或者从文件读取字典或者使用预定义的字典runtime list运行时文件运行时intruder将读取文件的每一行作为一个payloadcustom iterator自定义迭代器占位填充的一种方式最多8位character substitution字符替换把字典里面相应的字符进行替换case modification大小写修改要不要保持原样的要不要全部大写的要不要全部小写的要不要全小写的要不要驼峰命名(先大写后小写)的recrusvive grep递归查找用来提取相应数据的如拿到phpsessionid拿到token等可以通过格式匹配抓取到对应字段值。illegal unicode非法 Unicode编码用于绕过正则表达式的过滤验证character blocks字符快比如生成100A200号300个数字1等numbers数字组合dates日期组合brute forcer暴力破解暴力枚举最后一位先固定然后一个个改null payloads空payload不需要设置payloadcharacter frobber字符frobber依次修改指定字符串在每个字符位置的值每次都是在原子符上递增一个该字符的ASCII码bit flipperbit翻转对预设的payload原始值按照比特位依次进行修改username generator用户名生成器用于用户名和email账号的自动生成ECB block shufflerECB加密块洗牌基于ECB加密模式的payload生成器extension-generatedbp payload生成插件基于bp插件来生成payload值需要安装插件copy other payloadpayload复制将其他位置的参数复制到payload位置上如密码要输入两遍payload的编码也可以设置其他暂时不做设置开启攻击这里返回用户名或密码错误这里返回说明登录成功如何找出有可能匹配出的一个对length进行排序找到不一样那个总结流程1.从其他模块发生或者手动填写2.选择攻击模式attack type3.选择攻击字段positions4.设置payload5.其他设置线程池等6.发起攻击7.查看结果有不对的地方请大佬指导