弱口令漏洞

漏洞描述：网站管理、运营人员由于安全意识不足，为了方便、避免忘记密码等，使用了非常容易记住的密码，或者是直接采用了系统的默认密码等。攻击者利用此漏洞可直接进入应用系统或者管理系统，从而进行系统、网页、数据的篡改与删除，非法获取系统、用户的数据，甚至可能导致服务器沦陷。

测试地址/模块:
测试方法：如果提供管理员账号，尝试生成系统的用户字典，进行常见弱口令、默认口令爆破，注意不要锁定账号。

1. 找到网站登录页面，尝试输入常见弱口令，使用常见用户名(收集信息当前网站所用用户名格式)和密码字典进行爆破；
2. 根据网站所使用的第三方组件，寻找特定的弱口令或默认口令进行登录。

• 网站： admin/admin、admin/123456
• 中间件: weblogic/weblogic1、tomcat/tomcat
• CMS、框架、设备等：sangfor/sangfor、admin/admin123、admin/zabbix

风险分析：攻击者可利用互联网公开的常见弱口令尝试登录管理后台，进而利用后台管理功能窃取或修改数据，甚至可能通过对后台进行漏洞挖掘及利用最终获取服务器权限。
修复方案：

• 密码复杂度限制：强制用户设置长而复杂的密码，并强制定期更改密码
• 锁定策略：输错密码几次就锁定一段时间，或者限制每个IP地址的登录尝试次数，防止暴力工具进行大量尝试。
• 验证码技术：要求用户完成简单的任务才能登录到系统，用户可以轻松完成，但暴力工具无法完成。例如图形验证码、短信等。