弱口令漏洞

漏洞描述:网站管理、运营人员由于安全意识不足,为了方便、避免忘记密码等,使用了非常容易记住的密码,或者是直接采用了系统的默认密码等。攻击者利用此漏洞可直接进入应用系统或者管理系统,从而进行系统、网页、数据的篡改与删除,非法获取系统、用户的数据,甚至可能导致服务器沦陷。

测试地址/模块:
测试方法:如果提供管理员账号,尝试生成系统的用户字典,进行常见弱口令、默认口令爆破,注意不要锁定账号。

  1. 找到网站登录页面,尝试输入常见弱口令,使用常见用户名(收集信息当前网站所用用户名格式)和密码字典进行爆破;
  2. 根据网站所使用的第三方组件,寻找特定的弱口令或默认口令进行登录。
  • 网站: admin/admin、admin/123456
  • 中间件: weblogic/weblogic1、tomcat/tomcat
  • CMS、框架、设备等:sangfor/sangfor、admin/admin123、admin/zabbix

风险分析:攻击者可利用互联网公开的常见弱口令尝试登录管理后台,进而利用后台管理功能窃取或修改数据,甚至可能通过对后台进行漏洞挖掘及利用最终获取服务器权限。
修复方案:

  • 密码复杂度限制:强制用户设置长而复杂的密码,并强制定期更改密码
  • 锁定策略:输错密码几次就锁定一段时间,或者限制每个IP地址的登录尝试次数,防止暴力工具进行大量尝试。
  • 验证码技术:要求用户完成简单的任务才能登录到系统,用户可以轻松完成,但暴力工具无法完成。例如图形验证码、短信等。

你可能感兴趣的:(渗透测试学习,web安全,安全)