我正在尝试对我的一个网站进行渗透测试。我不知道用户名和密码。我正在尝试使用暴力攻击来破解用户名和密码。
虽然,这个策略应该是正确的,因为我需要每次都生成一个可变长度的新的字母数字组合,并使用一些自编程序发布它。
但是这种策略需要大量的处理时间和功率。我的简单怀疑是,这种策略足以破坏用户名和密码,或者预计会完成其他任务。
我听过很多关于字典攻击的内容,但是这也需要一个预定义的和预期的用户名和密码列表。
我应该选择brutus(但这对我不起作用)还是自编程序? 征用用户名和密码的正确方法是什么?
答案 0 :(得分:2)
针对实时系统的在线暴力攻击是不可行的,因为它太慢了:有限的带宽,延迟,限制,或许Captchas等。可以尝试字典攻击,但可能只有一个非常短的密码列表
但对于脱机密码攻击,攻击者拥有密码哈希,唯一的限制因素是他自己系统的硬件和软件。但是,由于成本效益比,蛮力攻击通常只对高价值目标有效。
答案 1 :(得分:1)
不仅可以实现,使用GPU和FPGA的现代方法,它是一种非常可行的方法。请注意,这不一定适用于客户端 - 服务器模型。但是,如果您的加密数据受到诸如PBKDF2之类的保护,则可以通过足够的计算能力来恢复密码和密钥。适当的方法取决于你试图攻击的是什么。攻击网站要困难得多,因为如果没有分布式攻击,网站可以简单地限制其响应,从而减慢攻击时间。