密码破解常用方法
黑基VIP培训教程
密码破解常用方法
https://www.360docs.net/doc/ef12826823.html,
黑基讲师:best 超亮哥
本章内容1:什么是弱口令扫描法?
2:什么是暴力破解法?
3:什么是击键记录?
4:什么是网络钓鱼法?
5:什么是MD5密码替换法?
6:什么是修改密码文件法?
7:什么是Cookie分析法?
8:什么是SQL注入法?
9:什么是社会工程学?
1:什么是弱口令扫描法?
1.就是利用系统软件密码设置简单,或者没设密码,导入一些黑客工具扫描到,例如:一些人常常设成自己的:生日、名字、简单的顺序数字或字符
2:什么是暴力破解法?
破解密码的穷举法对于纯数字密码(比如以出生日期或者电话号码作为密码)有很好的破解效果,但是包含字母的密码不适合这种方式。。穷举法的原理逐一尝试数字密码的所有排列组合,虽然效率最低,但很可靠,所以又有暴力法破解之称。纯数字密码是很不可靠的,为什么呢?因为即使是完全穷举,6位数字密码的极限也只有100万种,如果使用密码破解工具NoPassword,在网络畅通的情况下不出一天即可穷举完毕。而即使是使用8位纯数字密码,只要破解时间稍长,也难保安全。
3:什么是击键记录?
击键记录器又称之为“键盘记录器”或“按键记录器”。记录器程序在您的计算机后台运行,能记录您在键盘上的每一次按键。击键记录器搜集的信息,常包括个人信息和您向计算机输入的密码,这些信息可随后被第三方获取
4:什么是网络钓鱼法?
网络钓鱼(Phishing?,与钓鱼的英语fishing?发音相近,又名钓鱼法或钓鱼式攻击)是通过大量发送声称来自于银行或其他知名机构的欺骗性垃圾邮件,意图引诱收信人给出敏感信息(如用户名、口令、帐号ID、ATM PIN码或信用卡详细信息)的一种攻击方式。最典型的网络钓鱼攻击将收信人引诱到一个通过精心设计与目标组织的网站非常相似的钓鱼网站上,并获取收信人在此网站上输入的个人敏感信息,通常这个攻击过程不会让受害者警觉。它是“社会工程攻击”的一种形式。
5:什么是MD5密码替换法?
md5 不能逆推但是可以猜,比如用admin888做密码的人太多了,他自己知道用md5算一次出来的结果,如果遇到MD5加密文件,而又不知道的密码的,请在数据库中换上这组加密的数据吧469e80d32c0559f8 那么密码就是admin888
6:什么是修改密码文件法?
例如:Windows 2000/XP启动时,如果不进系统,会自动启动屏保,如果用CMD.EXE或EXPLORER.EXE代替logon.scr,启动启动时实际启动的是CMD命令。
7:什么是Cookie分析法?
Cookies是一种能够让网站服务器把少量数据储存到客户端的硬盘或内存,或是从客户端的硬盘读取数据的一种技术。Cookies是当你浏览某网站时,由Web服务器置于你硬盘上的一个非常小的文本文件,它可以记录你的用户ID、密码、浏览过的网页、停留的时间等信息。当你再次来到该网站时,网站通过读取Cookies,得知你的相关信息,就可以做出相应的动作,如在页面显示欢迎你的标语,或者让你不用输入ID、密码就直接登录等等。从本质上讲,它可以看作是你的身份证。但Cookies不能作为代码执行,也不会传送病毒,且为你所专有,并只能由提供它的服务器来读取。保存的信息片断以"名/值"对(name-value pairs)的形式储存,一个"名/值"对仅仅是一条命名的数据。一个网站只能取得它放在你的电脑中的信息,它无法从其它的Cookies文件中取得信息,也无法得到你的电脑上的其它任何东西。Cookies中的内容大多数经过了加密处理,因此一般用户看来只是一些毫无意义的字母数字组合,只有服务器的CGI处理程序才知道它们真正的含义。
8:什么是SQL注入法?
随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于这个行业的入门门槛不高,程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入。
SQL注入是从正常的WWW端口访问,而且表面看起来跟一般的Web页面访问没什么区别,所以目前市面的防火墙都不会对SQL注入发出警报,如果管理员没查看IIS日志的习惯,可能被入侵很长时间都不会发觉。
8:什么是社会工程学?
就是利用了人性的弱点、身边人的信息、侦探的伪装、组织信息构造陷阱来进行入侵的。
本讲座完毕
感谢您的听讲!更多专题讲座请访问:
黑基VIP会员区
https://www.360docs.net/doc/ef12826823.html,
注:本讲座中所涉及到的工具和代码在会员区均有下载。