我正在寻找一种使用表单身份验证的IIS / ASP.NET网站,并反复尝试登录,包括所有可能的密码或使用字典中的密码。
我可能会写一些内容,但我想知道是否有更公开的内容可以更好地实施。
答案 0 :(得分:1)
对于登录系统的在线暴力强制,我建议使用THC-Hydra。我总是在渗透测试中使用这个工具。相比之下,如果您有密码哈希或盐渍密码哈希,那么您应该使用John The Ripper将其脱机,这要快得多。
登录失败3次后,您应该使用reCaptcha等验证码提示该IP地址。
答案 1 :(得分:0)
如果您使用的是内置的ASP.NET成员资格提供程序,则可以设置一个名为passwordAttemptThreshold的属性。经过一定次数的尝试后,帐户将自动锁定。虽然您仍然可以遭受暴力攻击,但帐户在passwordAttemptThreshold内受到损害的可能性非常低。此外,您还可以使用成员资格提供程序强制执行密码策略,这确实使得暴力攻击的可能性降低。
当然,这并没有回答你的确切问题,但你可能仍然觉得简单地防止蛮力攻击发生在一开始就更为谨慎。无论你找到什么蛮力库,总会有一个更好的库 - 而好的库可能甚至不可用,因为它们无疑是真正的黑客的一个严密保密的秘密。
答案 2 :(得分:-1)
我不建议从外部攻击网站,而是建议使用哈希并将其脱机。
更好的方法是在网站上制定密码策略,这样您就不必这样做了。密码破解很难,在大多数情况下是不必要的