ArafelD/Misantropia-credential-stuffing-lab

# 🔓 Misantropia Lab — Credential Stuffing 道德模拟 [](#-法律声明) [](https://github.com/digininja/DVWA) [](https://portswigger.net/burp) ## ⚠️ 法律声明 **本实验室必须在完全属于您自己的本地环境（`localhost`/Docker）中运行。** 对第三方系统进行 credential stuffing、暴力破解或任何未经授权的访问尝试均属**犯罪行为**，违反**《巴西刑法典》第 154-A 条**（第 12.737/2012 号法律 — Carolina Dieckmann 法），如果目标系统是公共或关键基础设施，刑罚可能会大幅加重。 本仓库的内容具有**纯粹的教育目的**，旨在通过在隔离且授权的环境中进行合乎道德的进攻模拟（**Red Team**），来培养防御意识（**Blue Team**）。作者不对本材料的滥用承担责任。 ## 🎯 实验室目标 实践演示： 1. 公开数据库中泄露的凭证在将被重用时，是如何成为可行的攻击向量的 2. 为什么简单的 CAPTCHA（简单的数学计算）无法阻止自动化操作 3. 缺乏 Rate Limiting 是如何允许进行大规模测试而不被拦截的 4. 如何在数百次失败的尝试中，实际识别出一次成功的身份验证 ## 📋 前置条件 | 工具 | 最低版本 | 链接 | |---|---|---| | Docker | 20.x+ | [docker.com](https://www.docker.com/) | | Burp Suite 社区版 | 2023.x+ | [portswigger.net/burp](https://portswigger.net/burp/communitydownload) | | 浏览器 (Chrome/Firefox) | 最新版本 | — | ## 🚀 快速开始 ``` # 1. Clone este repositório # 2. Suba o ambiente vulnerável (DVWA) via Docker docker compose up -d # 3. Acesse o DVWA # http://localhost # Login padrão: admin / password # Vá em "DVWA Security" e configure o nível para "Low" para o primeiro teste # 4. Siga o guia completo cat docs/passo-a-passo.md ``` ## 📁 仓库结构 ``` misantropia-credential-stuffing-lab/ ├── README.md ← Este arquivo ├── LICENSE ← MIT License ├── docker-compose.yml ← Ambiente DVWA via Docker ├── .gitignore │ ├── wordlists/ │ ├── usuarios-exemplo.txt ← Lista de usuários fictícios │ ├── senhas-exemplo.txt ← Lista de senhas fictícias │ └── README.md ← Explicação do formato Pitchfork │ ├── docs/ │ ├── passo-a-passo.md ← Tutorial completo Burp Suite │ ├── checklist-defesa.md ← Controles de mitigação (Blue Team) │ ├── conceitos.md ← Glossário técnico │ └── screenshots/ ← Capturas de tela do processo │ └── scripts/ └── verificar-ambiente.sh ← Valida se o DVWA está acessível ``` ## 🛡️ 另一面：防御 (Blue Team) 如果没有相应的防御措施，本实验室的教育价值就不完整。请参阅 [`docs/checklist-defesa.md`](docs/checklist-defesa.md) 了解**消除**此攻击可行性的控制措施： - 基于 IP/账户的 Rate Limiting - 强制 MFA - 行为 CAPTCHA（非数学计算） - 对照泄露数据库验证密码（Have I Been Pwned API） - 具有异常流量模式检测的 WAF ## 📚 参考资料 - OWASP — [Credential Stuffing](https://owasp.org/www-community/attacks/Credential_stuffing) - OWASP — [Web 应用的自动化威胁 (OAT-008)](https://owasp.org/www-project-automated-threats-to-web-applications/) - PortSwigger — [Burp Suite Intruder 文档](https://portswigger.net/burp/documentation/desktop/tools/intruder) - DVWA — [Damn Vulnerable Web Application](https://github.com/digininja/DVWA) - Have I Been Pwned — [API 文档](https://haveibeenpwned.com/API/v3) ## 📄 许可证 MIT 许可证 — 详见 [LICENSE](LICENSE)。仅供教育使用，不提供任何保证。 ## 🤝 贡献 欢迎通过 Issues 或 Pull Requests 提出改进建议 — 特别是关于防御（Blue Team）部分的新增内容以及新的学习场景（例如：模拟正常运行且起效的 Rate Limiting 场景）。

标签：Cutter, DVWA, OPA, 凭证填充, 安全教育, 版权保护, 网络安全, 请求拦截, 隐私保护, 靶场