快捷搜索:  网络  渗透  后门  CVE  扫描  木马  黑客  as

安全科普:浅谈弱口令的风险

 * 作者:千里目安全实验室

故事要从一次艰难的渗透排泄测试说起(下列案例均为授权测试),实践证实,要想进行一次完善的渗透排泄,网站漏洞弱口令更配!

Clipboard Image.png

简介

通常认为容易被别人(他们有可能对你很了解)猜测到或被破解工具破解的口令均为弱口令

常见弱口令有:

一、数字或字母连排或混排,键盘字母连排(如:123456,abcdef,123abc,qwerty,1qaz2wsx等);

2、寿辰,姓名+寿辰(行使社工无比容易被破解);

三、短语暗码(如:5201314,woaini1314等)。

弱口令很容易被他人猜到或破解,所以要是你使用弱口令,就像把家门钥匙放在家门口的垫子下面,这类举动是无比惊险的。

故事违景

这是一个强盛的订票体系,拥有20w注册用户

第一步 取数据

网站存在严重的SQL注入漏洞,然则却没法完备的拖取全部数据库,始终卡在“探测到大批的相应效果,请稍等一会”。因而,我等了一天,没有任何效果返归!!!

Clipboard Image.png

 第二天,分别取出一些用户名以及一些暗码,然则每一列取出来的数据是按字母以及数字顺序正序排列好的,账号以及暗码完全没法匹配。 

6_副本.jpg

第二步 匹配数据

换个思路试试,上彀页上看看,说不定会有新发现。工具不靠谱,只能靠我聪明的小脑瓜。先注册个账号:123456/123456, 在网页上进行手工注入,用户名曝暗码

union select Customer_Password  from customer where Customer_UserName = "123456"--

5_副本.jpg

稀有据返归!如许的话写个脚本遍历一下用户名就可以匹配到相应的暗码,我真是太聪明晰。

我的暗码是123456,然而加密后变成7c1b80fe3ef17dc0,虽然是16位,但并不是常见的MD5加密,可见治理员心思很别致,竟然用自定义加密要领,试了多个,依然没法识别:

Clipboard Image.png

第三部  解密数据

得到20w没法解密的数据,对网站的实际作用为零。再换个思路想一想,我的暗码是123456,那是因为我比较懒,然则我肯定不是最懒的,鉴于人们的惰性思维,弱暗码肯定很多,用暗码来找用户好了,先试一试万能的123456,密文是7c1b80fe3ef17dc0

union select  Customer_UserName from customer where Customer_Password = "7c1b80fe3ef17dc0"--

一股洪荒之力喷涌而出,即使是我念书多,黑客漏洞,见识广,也着实受到了惊吓,粗统计一下,共有2855个用户使用“123456”作为暗码!

55_副本.jpg

再试试我大天朝人民最喜好的 888888 以及 666666 ,得到的用户名分别有13372个以及80个,看来由于文化悬殊造成对数字的喜欢差别照样很大的。上彀搜索一下网站当地人民最喜好的荣幸数字,果然是8。记得2015年公布过最弱暗码排行榜,现在取前15名进行对比(此网站请求暗码6-18位,不在此范围的暗码不参与评选)

Clipboard Image.png 

由此看来,受全国欢迎的弱暗码并不适用于中国国情,更不试用于地域民俗文化悬殊巨大的各省人民。

就该网站为试验点,调查当地人民弱暗码缺省普遍性,下列给出前十名:

Clipboard Image.png 

全国排名第二的password并没有受到国人的追捧,在网站测试中发现只有9小我私人使用password作为暗码,我大天朝人民最爱的弱暗码照样连号数字和荣幸数字的叠加。

通过这类要领,我行使常见弱暗码猜解到了将近一半用户的暗码,随意登录试试就可以看到大批的车票、机票、酒店订单。网站内包含的信息量遥遥大于20w,小我私人信息泄露情形无比严重。

弱口令案例梳理

这个案例让我想起了2015年春运前夜震动天下的12306数据泄露事故,传说风闻称黑客行使“撞库”手段获取131653条用户数据。通过对收集地下的泄露数据进行阐发发现,弱暗码无论在任何泄密事故中都具有举足轻重的位置,下列是安全兴趣者对12306泄露暗码的统计效果:

Clipboard Image.png 

其中,暗码中包含有 123 数字的,出现 11213 次 ;暗码中包含有 520 数字的,出现 4549 次 ;暗码中包含有 123456 数字的,出现 3236 次 ;暗码中包含有 1314 数字的,出现 3113 次 ;暗码中包含有 aini 的,出现 877 次 

要是说小我私人用户使用弱口令做暗码祸不迭他人,那么治理者使用弱口令做暗码酿成的群体性风险又将由谁买单?

千里目安全实验室成立以来,发现多起群体性风险事故都是由弱口令导致。12月份,千里目安全实验室检测到某省大批当局网站使用动易建站体系,该体系后台登录使用弱口令Admin/admin888作为治理员默认账户,经过确认,共有28家当局网站治理员未更改原始账号暗码,并且将近一半网站已被入侵,治理员头像遭篡改,以治理员身份发表测试文章。

Clipboard Image.png

今年1月份,某省省级治理网站,因某治理者使用123456弱口令作为暗码,不仅造成该治理人员地点构造内部人员信息整个泄露,结合网站其他漏洞进行行使,可导致全网站72w构造成员身份证号,联系方式,家庭住址等信息整个泄露。

Clipboard Image.png

 搜索wooyun漏洞地下平台,由弱口令诱发的信息泄露事故每天都在演出,您的信息在不经意间已被多次倒卖。经常收到垃圾短信或者倾销电话就是强有力的证实。不管是小我私人照样治理者,使用弱口令做暗码都是及其不负责任的表现。

Clipboard Image.png

安全建议

  • 1. 针对治理人员,应强制其账号暗码强度必须达到一定的级别;
  • 2. 建议暗码长度不少于8位,且暗码中最少包含数字、字母以及符号;
  • 3. 不同网站应使用不同的暗码,以避免遭遇“撞库攻击”;
  • 4. 避免使用寿辰,姓名等信息做暗码,遥离社工风险。
  • 本次研究效果仅供参考,存在漏洞的网站已经及时上报相干单位进行修复。对于使用弱暗码的用户,我只想说,赶快改暗码吧,你们的隐秘已经被我发现了!那么什么才是强暗码呢,像我如许,暗码长度不少于8位,且暗码中最少包含数字、字母以及符号,S4ngF0r@Qiqi,多么完善的暗码!

    Clipboard Image.png

     * 作者:千里目安全实验室,文章,

    您可能还会对下面的文章感兴趣: