如何定制口令字典库
1为什么需要定制口令字典库
-
-
字典库太大,评估时间过长,无法结束,耽误评估进度及业务、运维工作。亦或者是字典库还没遍历完任务就超时了。
2字典库形式
一:标准模式
-
-
如user1:psw1,user1:psw2,user1:psw3
user2:psw1,user2:psw2,user2:psw3
![如何定制口令字典库]( "如何定制口令字典库")
-
效率
时间不宜过长,需控制在超时时间内能遍历完所有字典库,或任务时间不影响业务、运维工作的开展。
-
字典库应尽量覆盖通用弱口令.几率较高的热门弱口令、评估目标组织常用弱口令、目标系统应用默认弱口令等,尽可能发现目标环境中存在的各类脆弱口令
-
-
评估组织业务及运维人员常用弱口令
评估目标系统组件、应用的默认账号口令
评估目标同类业务系统的常用弱口令
评估目标所属行业中的常用弱口令
评估目标代维厂商的常用弱口令
6字典库形式选择
![如何定制口令字典库]( "如何定制口令字典库")
7字典库使用测试
-
测试环境
由于字典库为顺序遍历,可设置测试环境存在字典库部分弱口令的同时,将字典库最后一组弱口令设置,以验证字典库是否能正常遍历完整,测试字典遍历时间。
-
在适当的评估时间内,能够正常遍历完整所有账号口令组合,并发现设置好的弱口令组合。
8实际场景中的使用调整
-
-
由于实际场景的调整,不同账号的重复弱口令情况增加,可适当调整为账号与口令一对多的形式进行检查
当次扫描的环境单一,涉及的人员、 应用较少,可能的口令组合较少,可筛选调整为账号与口令一对一的形式
![如何定制口令字典库]( "如何定制口令字典库")
谨记责任,高歌向前
▼
文案 | Soap
排版 | Soap
审核 | Hard Target
指导老师| Hard Target
原文始发于微信公众号(蝰蛇信息安全实验室):如何定制口令字典库
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
http://cn-sec.com/archives/1626313.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论