Web安全实践(12)密码探测
2009-01-05 13:49:41 来源:WEB开发网核心提示:园友Hunts.C昨天留言谈到了校内网,他说"就是个用户ID和邮箱,Web安全实践(12)密码探测,实际上这里的用户ID就是用户名的作用啊, 只不过它的登录是使用邮箱登录",朋友的方式来获得你想要的信息,当然这个web攻击本身关系不紧密,其实校内网支持的登录方式为用户名登录和邮箱登陆两种方式,另外对
园友Hunts.C昨天留言谈到了校内网,他说"就是个用户ID和邮箱,实际上这里的用户ID就是用户名的作用啊。 只不过它的登录是使用邮箱登录",其实校内网支持的登录方式为用户名登录和邮箱登陆两种方式,另外对每个用户都分配了唯一的ID。Hunts.C说的对,ID和用户名的作用是相同的,但是对于用户名枚举来说,ID是对用户名的隐藏,因为用ID是不能登陆的。
这一次要 说的内容比较少。
正文
12.1自动化密码探测
所谓自动化密码探测就是利用探测软件不断的向目标发出请求,根据响应来判断探测成功与否。
自动化探测一般有两种方式。一是对同一用户名尝试不同的密码,二是对不同的用户尝试相同的密码。第二种方法更能有效的防止账户锁定。
对于用户名和密码生成有两种方式,一是使用既存的字典,二是程序根据使用者给定的用户名或密码组合规则不断生成。
对于自动化密码探测最大的障碍是验证码和人机区分测试(简单的问题)。
12.2社会工程学
"社会工程学"这个词我不知道是怎么产生的,一开始觉得叫行为心理学似乎更合适。后来才知道社会工程学其实就是间谍活动。
(1)推测法。根据相关信息,常见的如生日,姓名,电话号码,常用的数字组合(1213456等),字母组合,邮箱,父母的名字等等。
(2)欺骗。你可以根据他给你的QQ等信息,通过聊天逐步得到他的相关信息。
(3)利用客服。比如你可以冒充邮箱用户本人给客服打电话说密码丢失。以前听说QQ可以,前天园友告诉我yahoo的信箱也可以,真是不可思议。
(4)"社会工程"允许你以接近目标本人或他的家人,朋友的方式来获得你想要的信息,当然这个web攻击本身关系不紧密,但是却是黑客攻击的手段之一。
- ››Web服务器和应用服务器的区别
- ››安全的Win 8系统减肥攻略
- ››安全度过网站排名的四个时期技巧
- ››web安全之信息刺探防范1
- ››webqq 最新加密算法
- ››webdriver 数据库验证方法
- ››WebSphere Application Server 7.0 XML Feature P...
- ››Web2.0网络时代基于社会影响力的声望值
- ››Web服务器搭建:配置Linux+Apache+Mysql+PHP(或Pe...
- ››安全第一 Windows 7五件应该知道的事
- ››WebLogic调整Java虚拟机性能优化参数
- ››webqq2.0协议研究(3)-ClientId生成
更多精彩
赞助商链接