大家好，今天跟大家講講一些帳戶攻防的想法。

首先密碼可以使用暴力破解(窮舉)法，有時候帳號反而比較難猜XD

通常有些系統的帳戶會有一些規則，像是手機、電子信箱、員工代碼、學號，管理員帳號(admin or administrator)。

破解密碼則是可以從以下幾點去思考：

1.釣魚網站：
許多釣魚網站會在網址上加工，讓人難以分辨到底網址是否可信，例如：
http://www.goog1(數字)e.com
其實這些網址與Google並沒有關係，但這種以假亂真的網域名稱混淆，很容易讓人因為匆匆一瞥而錯信這是真實的網站，讓使用者填寫一下帳密相關資訊，來破取密碼。

2.對方已知資料：身分證號碼、生日、手機號碼...等等個人相關資料。

3.木馬程式：在電腦領域中指的是一種後門程式，是駭客用來盜取其他用戶的個人資訊，甚至是遠端控制對方的電腦而加殼製作，然後通過各種手段傳播或者騙取目標使用者執行該程式，以達到盜取密碼等各種資料資料等目的。與病毒相似，木馬程式有很強的隱秘性，隨作業系統啟動而啟動。

4.暴力破解法，或稱為窮舉法，是一種密碼分析的方法，即將密碼進行逐個推算直到找出真正的密碼為止。例如一個已知是四位並且全部由數字組成的密碼，其可能共有10000種組合，因此最多嘗試10000次就能找到正確的密碼。
(0000~9999)

5.網站本身的漏洞：
5-1.SQL Injection :
SQL資料隱碼攻擊（英語：SQL injection），簡稱SQL攻擊或隱碼攻擊，是發生於應用程式與資料庫層的安全漏洞。簡而言之，是在輸入的字串之中夾帶SQL指令，在設計不良的程式當中忽略了字元檢查，那麼這些夾帶進去的惡意指令就會被資料庫伺服器誤認為是正常的SQL指令而執行，因此遭到破壞或是入侵。

5-2.跨站請求偽造（英語：Cross-site request forgery），也被稱為 one-click attack 或者 session riding，通常縮寫為 CSRF 或者 XSRF， 是一種挾制用戶在當前已登入的Web應用程式上執行非本意的操作的攻擊方法。[1] 跟跨網站指令碼（XSS）相比，XSS 利用的是用戶對指定網站的信任，CSRF 利用的是網站對用戶網頁瀏覽器的信任。

參考網址：

釣魚網站
木馬程式
暴力破解法
SQL Injection
跨站請求偽造