《网络空间安全实验教程》课件 第10章 暴力破解与HTTP Header攻击实训.pptxVIP

第10章暴力破解与HTTPHeader攻击实训

要点暴力破解HTTPHeader安全

1暴力破解暴力破解（BruteForce）攻击是指攻击者通过系统地组合所有可能性（例如登录时用到的账户名、密码），尝试所有的可能性破解用户的账户名、密码等敏感信息。攻击者会经常使用自动化脚本组合出正确的用户名和密码。对防御者而言，给攻击者留的时间越长，其组合出正确的用户名和密码的可能性就越大。

2暴力破解分类暴力破解可分为两种，一种是针对性的密码爆破，另外一种是扩展性的密码喷洒。密码爆破：密码爆破一般很熟悉，即针对单个账号或用户，用密码字典来不断的尝试，直到试出正确的密码，破解出来的时间和密码的复杂度及长度及破解设备有一定的关系。密码喷洒（PasswordSpraying）：密码喷洒和密码爆破相反，也可以叫反向密码爆破，即用指定的一个密码来批量的试取用户，在信息搜集阶段获取了大量的账号信息或者系统的用户，然后以固定的一个密码去不断的尝试这些用户。

3HTTPHeader安全现代的网络浏览器提供了很多的安全功能，旨在保护浏览器用户免受各种各样的威胁，如安装在他们设备上的恶意软件、监听他们网络流量的黑客以及恶意的钓鱼网站。HTTP安全标头是网站安全的基本组成部分。部署这些安全标头有助于保护您的网站免受XSS、代码注入、Clickjacking的侵扰。当用户通过浏览器访问站点时，服务器使用HTTP响应头进行响应。这些Header告诉浏览器如何与站点通信。它们包含了网站的Metadata，可以利用这些信息概括整个通信并提高安全性。

4HTTPHeader安全常见设置一：阻止网站被嵌套，X-Frame-Options二：跨站XSS防护，X-XSS-Protection三：强制使用HHPS传输（HTTPStrictTransportSecurity：HSTS）四：安全策略（ContentSecurityPolicy：CSP）五：禁用浏览器的Content-Type猜测行为，X-Content-Type-Options六：Cookie安全，Set-Cookie七：增加隐私保护，Referrer-Policy八：防止中间人攻击（HTTPSPublic-Key-Pins：HPKP）九：缓存安全，no-cache十：跨域安全，X-Permitted-Cross-Domain-Policies

实验Testfire网站登录页面有暴力破解风险缺陷标题：testfire网站登录页面有暴力破解风险测试平台与浏览器：Windows10+Firefox或IE11浏览器测试步骤：打开国外网站,点击“SignIn”进入登录页面。查看登录页面有没有防暴力破解账户与密码的设计。期望结果：登录页面，应该有图形验证码或其他防止被暴力破解设计。实际结果：登录页面，没有图形验证码等防暴力破解设计，用BrupSuite工具可以进行暴力破解，根据响应的时间不同，可以得到2个可用的账户与密码，分别是admin/admin,jsmith/demo1234.

实验Testfire网站登录页面有暴力破解风险

实验Testfire网站登录页面有暴力破解风险

实验Testfire网站Cookies没HttpOnly缺陷标题：testfire网站部分Cookies没有设置成HttpOnly测试平台与浏览器：Windows10+Chrome或Firefox浏览器测试步骤：打开testfire网站，。用ZAP工具查看网站Cookies设置（当然在Windows系统中，按键盘上的F12功能键，进入开发者模式，浏览器里也能看到Cookie设置）。期望结果：所有Cookies正确设置。实际结果：部分Cookies没有设置成HttpOnly

实验Testfire网站Cookies没HttpOnly

实验Testphp网站密码未加密传输缺陷标题：网站/登陆时密码未加密传输测试平台与浏览器：Windows10+IE11或Chrome45.0浏览器测试步骤：打开网站:/。点击Signup链接。用户名和密码分别输入test。按键盘上的“F12”功能键，打开浏览器开发者工具，选择“Network”网络项。点击登陆按钮。查看开发者工具中的密码加密情况。期望结果：应该使用HTTPS安全传输用户名与密码。实际结果：使用HTTP连接传输，密码未加密。

实验Testphp网站密码未加密传输

实验Testphp网站密码未加密传输