1.弱口令漏洞
漏洞名称
弱口令漏洞
漏洞地址
略
漏洞等级
高危
漏洞描述
应用系统未针对用户口令进行口令复杂度要求检测,导致应用系统中存在弱口令,恶意攻击者可以通过猜解弱口令成功登录应用系统后台。
漏洞成因
应用系统未针对用户口令进行口令复杂度要求检测,导致应用系统中存在弱口令。
漏洞危害
恶意攻击者可以通过猜解弱口令成功登录应用系统后台。
修复方案
1.口令长度不小于12位,应包含字母、数字和特殊字符,并且不包含全部或部分的用户账号名;2.口令中避免使用英文单词、生日、姓名、电话号码或这些信息的简单组合。
弱口令
(1)口令长度不小于16位,并应包含大写/小写字母,数字和其他字符,并且不包含全部或部分的用户账号名;
(2)避免使用英文单词、生日、姓名、电话号码或这些信息的简单组合作为口令;
(3)不要在不同的系统上使用相同的口令;
(4)定期或不定期地修改口令;
(5)使用口令设置工具生成健壮的口令;
(6)对用户设置的口令进行检测,及时发现弱口令;
(7)限制某些网络服务的登录次数,防止远程猜测、字典法、穷举法等攻击。 另外还需加强员工安全意识培训,登录口令,如系统/管理后台等最好升级为双因子认证方式。
同口令
避免同口令往往是具有挑战性的,因为许多需要口令保护的网站和账户,要求口令具有复杂性,比如,要求用户每过一段时间更新口令。用户则为了方便记忆,只好在多个账户中使用重复的口令。有两种方法既可以避免同口令,又能确保用户的口令满足口令复杂性的要求:
第一种方法是使用口令管理器来记住每一个口令。口令管理器是可以使用于计算机,智能电话,或在云端的应用程序。它可以安全地跟踪口令,以及口令被使用的地方。大多数口令管理器还可以按用户的需求为每个账户生成复杂的随机口令。只要访问口令管理器本身的口令足够安全,复杂,这种技术是很有效的。但是,如果口令管理器应用程序受到攻击(这是确实可能发生的!),所有被管理的口令都可能被泄露。如果用户选择使用一个常驻在本地计算机或智能手机上的口令管理器,一旦计算机被恶意软件攻击,或用户丢失了智能手机,所有由口令管理器管理的口令都可能被暴露。所以,选择口令管理器时,要确保它来自一个知名的,值得信赖的公司,以避免受到损害。
第二种方法是为口令选择一个可重复的模式。比如,选择一个关于网站或账户一些特性的句子,然后使用每个单词的第一个字母作为口令。例如,根据句子:“This is my March password for D1Net.”,口令就成了“TimMp4D.”。一个强大的口令应该是复杂的,需要包括大写和小写字母,数字和符号。上面例子中的这个口令就包含了句子中的首字母大写,把“for”翻译为数字“4”,并包括了句尾的标点“.”来添加一个符号到口令中。这项技术也有其弱点:如果来自同一个用户的多个口令被暴露,这个可重复的模式则可能被人猜出并被利用。
默认口令
禁止使用设备或应用系统默认口令。
测试过程
略
复测情况
已修复
测试人员
南风向晚
粉丝主动打赏看这里
持续更新中,基础漏洞共105篇
原文始发于微信公众号(利刃藏锋):弱口令漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论