starlincxv177/Brute-Force-Exploitation-and-Defense-Lab

# 🛡️ 暴力破解与防御实验实验室 - 清晰学习攻击与防御 [](https://github.com/starlincxv177/Brute-Force-Exploitation-and-Defense-Lab) ## 📌 概述 Brute-Force-Exploitation-and-Defense-Lab 是一个动手实践的安全实验实验室，用于学习自动化登录攻击的工作原理以及如何阻止它们。该实验使用 Burp Suite 进行攻击模拟，并使用 PHP 进行服务器端防御。实验帮助你在同一位置同时看到问题的攻击面和防御面。 该项目面向希望在自身上运行实验的 Windows 用户，以测试登录保护的工作方式。你可以用它来研究暴力破解行为、观察速率限制，并比较弱登录流程与更安全登录流程的区别。 ## 💻 你可以做什么 - 在 Windows 上运行本地实验 Web 实验室 - 使用 Burp Suite 发送重复的登录请求 - 观察暴力破解尝试在实践中的表现 - 测试速率限制和锁定逻辑 - 学习 PHP 如何阻止重复失败 - 审查 Web 登录的简单防御模式 - 在受控实验中练习安全测试 ## 📦 你需要什么 在开始之前，请确保你的 Windows PC 上已准备好以下项目： - Windows 10 或 Windows 11 - 一个网页浏览器，如 Edge、Chrome 或 Firefox - Burp Suite Community Edition - 一个本地 PHP 运行时 - 一个可以保存实验文件的文件夹 - 如果你的环境需要，请获取电脑的管理员权限 ## 🔽 下载实验 访问此页面以下载并运行实验文件： [打开 Brute-Force-Exploitation-and-Defense-Lab 仓库](https://github.com/starlincxv177/Brute-Force-Exploitation-and-Defense-Lab) 如果你使用主仓库页面，请查找项目文件，然后下载代码的 ZIP 文件或使用仓库下载选项。 ## 🪟 在 Windows 上安装 1. 在浏览器中打开仓库链接。 2. 将项目下载为 ZIP 文件。 3. 将 ZIP 文件保存到可以再次找到的文件夹中，例如 Downloads 或 Desktop。 4. 右键点击 ZIP 文件并选择“全部解压”。 5. 为解压后的文件选择一个文件夹。 6. 打开解压后的文件夹并查看项目文件。 7. 如果尚未安装，请在计算机上安装 PHP。 8. 如果尚未安装，请安装 Burp Suite Community Edition。 9. 将浏览器、PHP 和实验文件夹保持在触手可及的位置。 ## 🚀 首次运行 1. 打开解压后的实验文件夹。 2. 从该文件夹启动本地 PHP 服务器。 3. 打开浏览器并访问本地实验地址。 4. 检查登录页面是否加载。 5. 打开 Burp Suite 并将浏览器代理设置为使用它。 6. 再次加载登录页面，以便 Burp 可以捕获请求。 7. 确认你可以在 Burp 中看到登录请求。 ## 🧪 实验如何工作 该实验展示了一个简单的登录页面和服务器端防御流程。你可以发送许多登录尝试，并观察当服务器遇到重复失败时会发生什么。 该项目旨在帮助你理解以下常见控制： - 登录失败计数器 - 临时账户锁定 - 基于 IP 的速率限制 - 尝试次数过多后的延迟 - PHP 中的基本服务器检查 你可以使用实验来比较弱行为与受保护行为。这使你更容易理解为什么登录表单需要防御。 ## 🛠️ 使用 Burp Suite 1. 启动 Burp Suite。 2. 打开浏览器的代理设置。 3. 将浏览器代理设置为 127.0.0.1，端口为 8080。 4. 再次打开实验登录页面。 5. 提交一次测试登录。 6. 将捕获的请求发送到 Repeater。 7. 更改用户名或密码的值。 8. 再次发送请求以观察服务器的反应。 9. 观察锁定消息或速率限制响应。 Burp Suite 帮助你以简单的方式重复请求。这使得它非常适合观察登录防御如何响应快速重复尝试。 ## 🧱 要测试的防御功能 PHP 端的实验可能包含以下防御层： - 登录尝试跟踪 - 基于会话的控制 - 基于 IP 的速率限制 - 重复失败后的用户名锁定 - 尝试之间的延迟计时器 - 密码验证前的服务器端检查 - 用于安全测试的清晰错误消息 逐一尝试每个控制。这有助于你了解哪个防御阻止了攻击，哪个只是延缓了攻击。 ## 🧭 基本设置流程 1. 从仓库页面下载实验。 2. 解压文件。 3. 打开项目文件夹。 4. 启动 PHP 服务器。 5. 在浏览器中打开本地站点。 6. 启动 Burp Suite。 7. 设置浏览器代理。 8. 测试登录表单。 9. 查看应用程序如何处理重复请求。 ## 🔍 故障排除 如果页面无法打开，请检查以下常见问题： - 确保 PHP 服务器正在运行 - 确保你打开了正确的本地地址 - 检查 Burp Suite 是否未阻止浏览器 - 确认浏览器代理设置 - 如果文件似乎损坏，请重新解压 ZIP 文件 - 如果某个浏览器无法加载页面，请尝试另一个浏览器 - 根据需要运行终端或命令提示符 如果 Burp 未捕获流量，请再次检查代理设置。端口 8080 是常用选择。 如果登录页面显示错误，请刷新页面并从头开始重新设置。 ## 📁 建议的文件夹结构 你可以将实验文件保存在类似如下的简单文件夹结构中： - `Brute-Force-Exploitation-and-Defense-Lab` - `lab-files` - `php` - `burp` - `notes` 这种结构使你在再次需要文件时更容易找到它们。 ## 🔐 安全与使用 仅在你控制的系统上使用此实验。将其保留在本地计算机上，并仅用于学习和测试。目标是理解暴力破解攻击的工作原理以及如何使用服务器端控制来阻止它们。 ## 📚 涵盖主题 - 暴力破解 - Burp Suite - 网络安全 - 道德黑客 - 信息安全 - 实验室使用 - 渗透测试 - PHP 安全 - 速率限制 - 安全缓解措施 - 漏洞研究 - Web 安全 ## 🧩 项目目标 该实验展示了一个小型登录系统在重复请求下如何失效，以及简单的服务器端规则如何降低风险。它为你提供了攻击路径和防御路径的直接视图，并在一个设置中完成。

标签：Burp Suite, PHP安全, PoC, Web安全, Windows本地部署, 代码安全, 安全学习, 安全实验室, 安全最佳实践, 安全测试, 安全演示, 密码暴力破解, 攻击性安全, 攻防实践, 暴力破解, 服务器端防护, 本地开发环境, 漏洞枚举, 登录保护, 登录攻击, 登录流程, 登录限流, 自动化攻击, 蓝队分析, 行为观察, 认证绕过, 账户锁定, 重复失败, 防御机制, 限流, 项目实践