暴力破解与验证码安全

暴力破解 ：暴力破解简单来说就是将密码进行逐个测试，直到找出正确的密码为止

    暴力破解：是一攻击具手段，在web攻击中，一般会使用这种手段对应用系统的认证信息进行获取。 其过程就是使用大量的认证信息在认证接口进行尝试登录，直到得到正确的结果。为了提高效率，暴力破解一般会使用带有字典的工具来进行自动化操作

    暴力破解漏洞：如果一个web应用系统没有采用或者采用了比较弱的认证安全策略，导致其被暴力破解的“可能性”变的比较高

暴力破解前准备 ：

    1 web系统的认证安全策略：

        是否要求用户设置复杂的密码；

        是否每次认证都使用安全的验证码

        是否对尝试登录的行为进行判断和限制（如：连续5次错误登录，进行账号锁定或IP地址锁定等）

        是否采用了双因素认证

        认证过程是否带有token信息

2工具准备：准备合适的暴力破解工具以及一个有郊的字典

三个要点：

       1 对目标网站进行注册，搞清楚帐号密码的一些限制，比如目标站点要求密码必须是8位以上，字母数字组合，则可以按照此优化字典，比如去掉不符合要求的密码

        2 web管理面密码使用admin/administrator/root帐号的机率较高，可以使用这三个帐号+随便一个密码字典进行暴力破解

        3 破解过程中一定要注意观察提示，如有“用户名或密码错误”“密码错误”“用户名不存在”等相关提示,可进一步利用

暴力破解分类 ：

    B/S模式：浏览器服务器模式的认证过程是http协议实现的，因此可以用burpsuite抓包工具来破解

        1 不带验证码的认证的破解：可直接使用burpsuite加密码字典破解

        2 带验证码的认证的破解：如果是前端验证可使用burpsuite抓包绕过验证码来暴力破解，如果是后端验证，可使用爆破工具（如pkav）外接验证码识别器来暴力破解。（如果后台验证过程中验证码没有立即销毁，此验证码可使用24分钟）

        3 带token信息的认证的破解：（Token是服务端生成的一串字符串，以作客户端进行请求的一个令牌，客户端带上token代表具有执行某些操作的权利）token信息每次都不一样，需要burpsuite将服务器返回的token取出用于下一次请求。

    C/S模式：客户端服务器模式的认证过程有多种协议实现的，因此需要用专用的集成化破解工具来破解,例如 Hydra、Bruter、X-scan

        工具：

            Bruter：密码暴力破解工具

            Hydra：hydra是著名黑客组织thc的一款开源的暴力密码破解工具，支持多种协议，可以在线破解多种应用密码。

暴力破解的防范 ：增加web系统的认证安全策略

    要求用户设置复杂的密码

    每次认证都使用安全的验证码

    对尝试登录的行为进行判断和限制

    采用双因素认证

    认证过程带token信息

验证码安全 ：

        是一种区分用户是计算机还是人的全自动程序，可以防止：密码暴力破解、刷票、论坛灌水。可有效防护黑客对特定用户的密码暴力破解。

验证码分类 ：

    Gif动画验证码

    手机短信验证码

    手机语音验证码

    视频验证码

验证码常见安全问题 ：

    客户端问题

    服务端问题

    基于Token验证

    验证码太简单，容易被机器识别

    暴破验证码

验证码安全防护 ：

    1) 强制要求输入验证码，否则，必须实施IP策略。 注意不要被X-Forwaded-For绕过了！

    2) 验证码只能用一次，用完立即过期！不能再次使用

    3) 验证码不要太弱。扭曲、变形、干扰线条、干扰背景色、变换字体等。

    4) 大网站最好统一安全验证码，各处使用同一个验证码接口

思路点：暴力破解和验证码安全破解时也可以熟悉认证业务过程，并试图在业务过程中寻找业务逻辑漏洞。

弱口令：属于暴力破解漏洞的一种，是web认证界面使用了常用的或者较简单的用户名密码，使暴力破解变得简单。

为了在CentOS 或 RHEL上安装fail2ban,首先设置EPEL仓库，然后运行以下命令。

$ sudo yum install fail2ban

在Fedora上安装fail2ban，简单地运行以下命令：

$ sudo yum install fail2ban

在Ubuntu，Debian 或 Linux Mint上安装fail2ban：

$ sudo apt-get install fail2ban

为SSH服务器配置Fail2ban

现在你已经准备好了通过配置 fail2ban 来加强你的SSH服务器。你需要编辑其配置文件

/etc/fail2ban/jailconf。

在配置文件的“[DEFAULT]”区，你可以在此定义所有受监控的服务的默认参数，另外在特定服务的配置部分，你可以为每个服务（例如SSH，Apache等）设置特定的配置来覆盖默认的参数配置。

在针对服务的监狱区（在[DEFAULT]区后面的地方），你需要定义一个[ssh-iptables]区，这里用来定义SSH相关的监狱配置。真正的禁止IP地址的操作是通过iptables完成的。

下面是一个包含“ssh-iptables”监狱配置的/etc/fail2ban/jailconf的文件样例。当然根据你的需要，你也可以指定其他的应用监狱。

$ sudo vi /etc/fail2ban/jaillocal

[DEFAULT]

# 以空格分隔的列表，可以是 IP 地址、CIDR 前缀或者 DNS 主机名

# 用于指定哪些地址可以忽略 fail2ban 防御

ignoreip =1270011723100/24101000/2419216800/24

# 客户端主机被禁止的时长（秒）

bantime =86400

# 客户端主机被禁止前允许失败的次数

maxretry =5

# 查找失败次数的时长（秒）

findtime =600

mta = sendmail

[ssh-iptables]

enabled =true

filter = sshd

action = iptables[name=SSH, port=ssh, protocol=tcp]

sendmail-whois[name=SSH, dest=your@emailcom, sender=fail2ban@emailcom]

# Debian 系的发行版

logpath =/var/log/authlog

# Red Hat 系的发行版

logpath =/var/log/secure

# ssh 服务的最大尝试次数

maxretry =3

根据上述配置，fail2ban会自动禁止在最近10分钟内有超过3次访问尝试失败的任意IP地址。一旦被禁，这个IP地址将会在24小时内一直被禁止访问 SSH 服务。这个事件也会通过sendemail发送邮件通知。

一旦配置文件准备就绪，按照以下方式重启fail2ban服务。

在 Debian, Ubuntu 或 CentOS/RHEL 6:

$ sudo service fail2ban restart

在 Fedora 或 CentOS/RHEL 7:

$ sudo systemctl restart fail2ban

为了验证fail2ban成功运行，使用参数'ping'来运行fail2ban-client 命令。 如果fail2ban服务正常运行，你可以看到“pong（嘭）”作为响应。

$ sudo fail2ban-client ping

Server replied: pong

测试 fail2ban 保护SSH免遭暴力破解攻击

为了测试fail2ban是否能正常工作，尝试通过使用错误的密码来用SSH连接到服务器模拟一个暴力破解攻击。与此同时，监控 /var/log/fail2banlog，该文件记录在fail2ban中发生的任何敏感事件。

$ sudo tail -f /var/log/fail2banlog

根据上述的日志文件，Fail2ban通过检测IP地址的多次失败登录尝试，禁止了一个IP地址19216818。

检查fail2ban状态并解禁被锁住的IP地址

由于fail2ban的“ssh-iptables”监狱使用iptables来阻塞问题IP地址，你可以通过以下方式来检测当前iptables来验证禁止规则。

$ sudo iptables --list -n

Chain INPUT (policy ACCEPT)

target prot opt source destination

fail2ban-SSH tcp --0000/00000/0 tcp dpt:22

Chain FORWARD (policy ACCEPT)

target prot opt source destination

Chain OUTPUT (policy ACCEPT)

target prot opt source destination

Chain fail2ban-SSH (1 references)

target prot opt source destination

DROP all --192168180000/0

RETURN all --0000/00000/0

如果你想要从fail2ban中解锁某个IP地址，你可以使用iptables命令：

$ sudo iptables -D fail2ban-SSH -s 19216818-j DROP

当然你可以使用上述的iptables命令手动地检验和管理fail2ban的IP阻塞列表，但实际上有一个适当的方法就是使用fail2ban-client命令行工具。这个命令不仅允许你对"ssh-iptables"监狱进行管理，同时也是一个标准的命令行接口，可以管理其他类型的fail2ban监狱。

为了检验fail2ban状态（会显示出当前活动的监狱列表）：

$ sudo fail2ban-client status

为了检验一个特定监狱的状态（例如ssh-iptables):

$ sudo fail2ban-client status ssh-iptables

上面的命令会显示出被禁止IP地址列表。

为了解锁特定的IP地址：

$ sudo fail2ban-client set ssh-iptables unbanip 19216818

注意，如果你停止了Fail2ban 服务，那么所有的IP地址都会被解锁。当你重启

Fail2ban，它会从/etc/log/secure(或

/var/log/authlog)中找到异常的IP地址列表，如果这些异常地址的发生时间仍然在禁止时间内，那么Fail2ban会重新将这些IP地址禁止。

设置 Fail2ban 自动启动

一旦你成功地测试了fail2ban之后，最后一个步骤就是在你的服务器上让其在开机时自动启动。在基于Debian的发行版中，fail2ban已经默认让自动启动生效。在基于Red-Hat的发行版中，按照下面的方式让自动启动生效。

在 CentOS/RHEL 6中:

$ sudo chkconfig fail2ban on

在 Fedora 或 CentOS/RHEL 7:

$ sudo systemctl enable fail2ban

防火墙开了不顶用，你在防火墙里添加个安全措施，禁止那个人的IP访问你的服务器，或是端口，你先把网线拔了设置。

打开防火墙的“高级安全”，点击新建规则。

进入，新建规则入站向导，选择自定义。

点击下一步后，点击程序，选中默认所有程序。

点击，协议和端口，全部默认，然后继续点击下一步。

进入到作用域，找到下列IP地址，点击添加按钮，添加你需要过滤的ip地址。

点击下一步，选中阻止链接，继续点击下一步。

进入到配置文件，何时应用该规则，全部默认即可。

进入到名称，填写名称，和描述，点击完成就可以了。