iT邦幫忙

2019 iT 邦幫忙鐵人賽

DAY 20
0

大家好,今天跟大家講講一些帳戶攻防的想法。

首先密碼可以使用暴力破解(窮舉)法,有時候帳號反而比較難猜XD

通常有些系統的帳戶會有一些規則,像是手機、電子信箱、員工代碼、學號,管理員帳號(admin or administrator)。

破解密碼則是可以從以下幾點去思考:

1.釣魚網站:
許多釣魚網站會在網址上加工,讓人難以分辨到底網址是否可信,例如:
http://www.goog1(數字)e.com
其實這些網址與Google並沒有關係,但這種以假亂真的網域名稱混淆,很容易讓人因為匆匆一瞥而錯信這是真實的網站,讓使用者填寫一下帳密相關資訊,來破取密碼。

2.對方已知資料:身分證號碼、生日、手機號碼...等等個人相關資料。

3.木馬程式:在電腦領域中指的是一種後門程式,是駭客用來盜取其他用戶的個人資訊,甚至是遠端控制對方的電腦而加殼製作,然後通過各種手段傳播或者騙取目標使用者執行該程式,以達到盜取密碼等各種資料資料等目的。與病毒相似,木馬程式有很強的隱秘性,隨作業系統啟動而啟動。

4.暴力破解法,或稱為窮舉法,是一種密碼分析的方法,即將密碼進行逐個推算直到找出真正的密碼為止。例如一個已知是四位並且全部由數字組成的密碼,其可能共有10000種組合,因此最多嘗試10000次就能找到正確的密碼。
(0000~9999)

5.網站本身的漏洞:
5-1.SQL Injection :
SQL資料隱碼攻擊(英語:SQL injection),簡稱SQL攻擊或隱碼攻擊,是發生於應用程式與資料庫層的安全漏洞。簡而言之,是在輸入的字串之中夾帶SQL指令,在設計不良的程式當中忽略了字元檢查,那麼這些夾帶進去的惡意指令就會被資料庫伺服器誤認為是正常的SQL指令而執行,因此遭到破壞或是入侵。

5-2.跨站請求偽造(英語:Cross-site request forgery),也被稱為 one-click attack 或者 session riding,通常縮寫為 CSRF 或者 XSRF, 是一種挾制用戶在當前已登入的Web應用程式上執行非本意的操作的攻擊方法。[1] 跟跨網站指令碼(XSS)相比,XSS 利用的是用戶對指定網站的信任,CSRF 利用的是網站對用戶網頁瀏覽器的信任。

參考網址:

釣魚網站
木馬程式
暴力破解法
SQL Injection
跨站請求偽造


上一篇
【Day 19】憑證填充 (Credential Stuffing) 攻擊
下一篇
【Day 21】 淺談 SQL injection
系列文
What a good thing we lose? What a bad thing we knew?30

尚未有邦友留言

立即登入留言