DVWA系列之13 Brute Force代碼分析與防御

之前已經(jīng)分析過了low級別的Brute Force代碼，下面再分別分析一下medium和high級別的代碼。

medium級別代碼：

很明顯就可以看到medium和low級別的區(qū)別，在這里對負責接收用戶參數(shù)的變量$user和$pass進行了過濾，過濾的方法仍然是使用mysql_real_escape_string()函數(shù)。這樣密碼繞過就行不通了，但對于暴力破解卻是沒有絲毫影響，利用Burpsuite仍然可以很快破解出密碼。

下面再看下high級別的代碼：

high級別首先仍是對$user和$pass變量進行了過濾，當然在過濾之前先使用stripslashes()函數(shù)清除了魔法引號的轉義。再仔細觀察一下與medium級別代碼的區(qū)別，就會發(fā)現(xiàn)在if語句的else部分增加了一行代碼“sleep(3)”，也就是說如果密碼輸入錯誤，那么就需要等待3秒鐘才可以繼續(xù)輸入。這個設計很明顯是用來防御暴力破解的，在Burpsuite中測試一下就可發(fā)現(xiàn)密碼破解的時間被大大延長了，這樣如果將密碼設置的稍微復雜一些，再加上適當?shù)耐ｎD時間，基本上就可以有效地防御暴力破解。

當然，防御暴力破解的最有效方法是在登錄頁面中加入驗證碼，雖然有些驗證碼也是可以被突破的，但如果將驗證碼也設置的稍微復雜一些，就像最近被吐槽的12306驗證碼，那么暴力破解基本上就是不可能了。