PHP安全编程之暴力破解攻击

怼烎@ 2022-07-19 11:49 391阅读 0赞

暴力攻击是一种不使用任何特殊手段而去穷尽各种可能性的攻击方式。它的更正式的叫法是穷举攻击——穷举各种可能性的攻击。
对于访问控制,典型的暴力攻击表现为攻击者通过大量的尝试去试图登录系统。在多数情况下,用户名是已知的,而只需要猜测密码。
尽管暴力攻击没有技巧性可言,但词典攻击似乎有一定的技巧性。最大的区别是在进行猜测时的智能化。词典攻击只会最可能的情况列表中进行穷举,而不像暴力攻击一样去穷举所有的可能情况。
防止进行验证尝试或限制允许错误的次数还算是一个比较有效的安全手段,但是这样做的两难之处在于如何在不影响合法用户使用的情况下识别与阻止攻击者。
在这种情况下,对一致性的判定可以帮助你区分二者。这个方法与前面所述的防止会话劫持的做法很相似,但区别是你要确定的是一个攻击者而不是一个合法用户。
考虑下面的HTML表单:

  1. <span style="font-size:12px;"><form action="http://example.org/login.php" method="POST">
  2. <p>Username: <input type="text" name="username" /></p>
  3. <p>Password: <input type="password" name="password" /></p>
  4. <p><input type="submit" /></p>
  5. </form> </span>

攻击者会察看这个表单并建立一段脚本来POST合法的数据给http://example.org/login.php:

  1. <span style="font-size:12px;"><?php
  2. $username = 'victim';
  3. $password = 'guess';
  4. $content = "username=$username&password=$password";
  5. $content_length = strlen($content);
  6. $http_request = '';
  7. $http_response = '';
  8. $http_request .= "POST /login.php HTTP/1.1\r\n";
  9. $http_request .= "Host: example.org\r\n";
  10. $http_request .= "Content-Type: application/x-www-form-urlencoded\r\n";
  11. $http_request .= "Content-Length: $content_length\r\n";
  12. $http_request .= "Connection: close\r\n";
  13. $http_request .= "\r\n";
  14. $http_request .= $content;
  15. if ($handle = fsockopen('example.org', 80))
  16. {
  17. fputs($handle, $http_request);
  18. while (!feof($handle))
  19. {
  20. $http_response .= fgets($handle, 1024);
  21. }
  22. fclose($handle);
  23. /* Check Response */
  24. }
  25. else
  26. {
  27. /* Error */
  28. }
  29. ?> </span>

使这段脚本,攻击者还可以简单地加入一个循环来继续尝试不同的密码,并在每次尝试后检查$http_response变量。一旦$http_response变量有变化,就可以认为猜测到了正确的密码。
你可以通过很多安全措施去防止此类攻击。我们注意到,在暴力攻击中每次的HTTP请求除了密码是不同的,其他部分完全相同,这一点是很有价值的。
尽管在超过一定数量的失败尝试后临时冻结帐号是一种有效的防范手段,但你可能会去考虑采用更确定的方式去冻结帐号,以使攻击者更少地影响合法用户对你的应用的正常使用。
还有一些流程也可以增大暴力攻击的难度,使它不太可能成功。一个简单的遏制机制就能有效地做到这一点:

  1. <span style="font-size:12px;"><?php
  2. /* mysql_connect() */
  3. /* mysql_select_db() */
  4. $clean = array();
  5. $mysql = array();
  6. $now = time();
  7. $max = $now - 15;
  8. $salt = 'SHIFLETT';
  9. if (ctype_alnum($_POST['username']))
  10. {
  11. $clean['username'] = $_POST['username'];
  12. }
  13. else
  14. {
  15. /* ... */
  16. }
  17. $clean['password'] = md5($salt . md5($_POST['password'] . $salt));
  18. $mysql['username'] = mysql_real_escape_string($clean['username']);
  19. $sql = "SELECT last_failure, password
  20. FROM users
  21. WHERE username = '{$mysql['username']}'";
  22. if ($result = mysql_query($sql))
  23. {
  24. if (mysql_num_rows($result))
  25. {
  26. $record = mysql_fetch_assoc($result);
  27. if ($record['last_failure']> $max)
  28. {
  29. /* Less than 15 seconds since last failure */
  30. }
  31. elseif ($record['password'] == $clean['password'])
  32. {
  33. /* Successful Login */
  34. }
  35. else
  36. {
  37. /* Failed Login */
  38. $sql = "UPDATE users
  39. SET last_failure = '$now'
  40. WHERE username = '{$mysql['username']}'";
  41. mysql_query($sql);
  42. }
  43. }
  44. else
  45. {
  46. /* Invalid Username */
  47. }
  48. }
  49. else
  50. {
  51. /* Error */
  52. }
  53. ?> </span>

上例会限制在上次验证失败后对同一用户再试尝试的频率。如果在一次尝试失败后的15秒内再次尝试,不管密码是否正确,验证都会失败。这就是这个方案的关键点。但简单地在一次失败尝试后15秒内阻止访问还是不够的——在此时不管输入是什么,输出也会是一致的,只有在登录成功后才会不同。否则,攻击者只要简单地检查不一致的输出即可确定登录是否成功。

来自:http://www.lai18.com/content/423780.html

发表评论

表情:
评论列表 (有 0 条评论,391人围观)

还没有评论,来说两句吧...

相关阅读

    相关 暴力破解算法

    暴力破解算法 可用于如下场景: 1、密码猜测 2、对于罗拉模块的数据请求,当发现模块么有回应数据时,往往考虑是否模块所处位置导致信号无法到达,此时可借助其他模块作为中继

    相关 PHP安全编程暴力破解攻击

    暴力攻击是一种不使用任何特殊手段而去穷尽各种可能性的攻击方式。它的更正式的叫法是穷举攻击——穷举各种可能性的攻击。 对于访问控制,典型的暴力攻击表现为攻击者通过大量的尝试去

    相关 PHP安全Web攻击

    一、SQL注入攻击(SQL Injection) 攻击者把SQL命令插入到Web表单的输入域或页面请求的字符串,欺骗服务器执行恶意的SQL命令。在某些表单中,用户输入的内