Web弱口令通用检测方法探究

设置了一个较量简朴的字典

USERNAME_DIC = ['admin','guest','test','ceshi','system'] 
PASSWORD_DIC = ['123456','admin','password','123123','123','1','{user}','{user}{user}','{user}1','{user}123','{user}2018','{user}2017','{user}2016','{user}2015','{user}!','P@ssw0rd!!','qwa123','12345678','test','123qwe!@#','123456789','123321','1314520','666666','woaini','000000','1234567890','8888888','qwerty','1qaz2wsx','abc123','abc123456','1q2w3e4r','123qwe','a123456','p@ssw0rd','a123456789','woaini1314','qwerasdf','123456a','123456789a','987654321','qwer!@#$','5201314520', 'q123456', '123456abc', '123123123', '123456.','0123456789', 'asd123456', 'aa123456', 'q123456789', '!QAZ@WSX','12345','1234567','passw0rd','admin888'] 

4. 怎样判定破解乐成

今朝行使了几种方法彼此团结的要领来配合验证。

• 通过返回包里有没有Set-Cookie;
• 返回数据包的长度变革;
• 行使requests.session()举办重验证;
• 返回页面的内容匹配。
• 优化精确度，插手了recheck函数

在测试时发明会呈现误报环境，以是对乐成的账户暗码举办了重验证。好比：

• 有些体系在探测多次之后呈现封ip之类的环境，这时辰会滋扰破解剧本的判定;
• 有些体系在开始的时辰没有验证码，但错误屡次后会呈现验证码;
• 有些体系的提醒信息会呈现随机的改观，导致误报。

事变界面

扫描进程如下

扫描乐成的功效会保持在web_crack_ok.txt文件中

扫描中辨认到验证码、phpmyadmin等全部的日记会生涯在web_crack_log.txt文件中，后期可以按照log日记再举办一一筛查。

其他声名

着实在完成这个器材后，也开始大白为什么市面上没有通用的破解器，由于乐成率简直不高!我测试过10000个打点靠山，破解出来弱口令的约莫110个，有没有漏报不清晰但根基没有误报。

（编辑：河北网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!