我正在尝试对我的一个网站进行渗透测试。我不知道用户名和密码。我正在尝试使用暴力攻击破解用户名和密码。
虽然,这个策略应该是直接的,因为我需要每次都生成一个可变长度的新字母数字组合,并使用一些自己编写的程序发布它。
但是这种策略需要大量的处理时间和能力。我的简单疑问是,这种策略是否足以破坏用户名和密码,或者预计会完成其他一些任务。
我听说过很多关于字典攻击的信息,但这也需要预定义和预先预期的用户名和密码列表。
我应该选择 brutus(但它对我不起作用)还是自己编写的程序?获取用户名和密码的正确方法是什么?
针对实时系统的在线暴力攻击是不可行的,因为它太慢了:有限的带宽、延迟、节流,可能还有验证码等。可以尝试字典攻击,但可能只有很短的密码列表。
但是对于离线密码攻击,攻击者拥有密码哈希,唯一的限制因素是他自己系统的硬件和软件。然而,由于成本效益比,暴力攻击通常仍然只针对高价值目标是可行的。
它不仅可以通过使用 GPU 和 FPGA 的现代方法实现,而且是一种非常可行的方法。请注意,这不一定适用于客户端-服务器模型。但是,如果您有受 PBKDF2 等保护的加密数据,则有足够的计算能力可以恢复密码和密钥。适当的方法取决于您要攻击的是什么。攻击网站要困难得多,因为如果没有分布式攻击,该网站可以简单地限制其响应,从而减慢您的攻击时间。