DVWA系列之11 Brute Force中的密码绕过
发表于:2025-02-06 作者:千家信息网编辑
千家信息网最后更新 2025年02月06日,下面来分析一下DVWA中的Brute Force暴力破解,在页面的文本框中输入用户名和密码,如果输入错误,会出现错误提示。正确的密码跟DVWA登录密码一样,都是password。正确输入的页面:所谓的
千家信息网最后更新 2025年02月06日DVWA系列之11 Brute Force中的密码绕过
下面来分析一下DVWA中的Brute Force暴力破解,在页面的文本框中输入用户名和密码,如果输入错误,会出现错误提示。
正确的密码跟DVWA登录密码一样,都是password。正确输入的页面:
所谓的暴力破解,就是在不知道密码的情况下,通过软件挨个密码进行尝试,从而最终将密码破解出来。
我们还是先选择low级别,查看一下源码。
有了之前的基础,很容易就可以发现这段代码中存在SQL注入漏洞,问题就出在下面这行语句:
$qry = "SELECT * FROM `users` WHERE user='$user' AND password='$pass';"; |
比如我们输入用户名"admin' or 'a'='a",那么无论输入什么密码都可以正常登录,这就是经典的密码绕过漏洞。
原理其实很简单,只要将那段用户名代入到代码中就可以理解了。
$qry = "SELECT * FROM `users` WHERE user='admin' or 'a' = 'a' AND password='$pass';"; |
因为了有了"or 'a' = 'a'"的存在,所以后面的"AND password='$pass'"密码验证根本就没有发挥作用。
密码
输入
用户
用户名
代码
就是
暴力
漏洞
错误
页面
登录
作用
原理
基础
密码破解
情况
文本
根本
源码
级别
数据库的安全要保护哪些东西
数据库安全各自的含义是什么
生产安全数据库录入
数据库的安全性及管理
数据库安全策略包含哪些
海淀数据库安全审计系统
建立农村房屋安全信息数据库
易用的数据库客户端支持安全管理
连接数据库失败ssl安全错误
数据库的锁怎样保障安全
网络安全论文的标题
河北广电总局网络安全
网络安全法似一部
湖南衡阳计算机网络技术应用
计算机网络技术就业工资高吗
bsc数据库中收录的文献类型
软件开发能感到多少岁
物流网络技术孙甲泉
内蒙古军工卫星授时服务器
架构游戏服务器
东莞数字软件开发批发价
计算机网络技术与应用孙健敏
plc软件开发版
DM数据库增加字段
4月20日网络安全
sql打开数据库的命令是
蘑菇云游服务器分配失败
安阳网络安全系统多少钱
网络安全教育手指操
天成网络技术有限公司
qq群昵称改了显示服务器吗
中国十大软件开发技术公司
跑跑卡丁车共有多少服务器
河南冲击波网络技术有限公司
攻城略地数据库修改
孝义潮尚互联网科技
比较几种软件开发方法的优点
通联数据库
网络安全优先出版
运营商为什么不用浪潮服务器
