看好你的门-验证机制被攻击(7)-可预测的用户名和密码
2015-03-09 12:48
447 查看
首先需要声明,本文纯属一个毫无远见和真才实学的小小开发人员的愚昧见解,仅供用于web系统安全方面的参考。
一些应用程序在大批量创建用户之后,并自动指定初始密码,然后通过某种方式(邮件、短信)将密码分配给用户。
可预测的初始化密码,让攻击者能够预测其他应用程序用户的密码,基于内网的企业应用程序经常存在这种漏洞。
如果所有用户都收到相同的密码,或者根据用户名和职务、ID、手机号码等创建的密码,这种密码非常容易被攻破。
比这个更加糟糕的是,很多人有了初始密码之后,几乎不做修改,就一直使用;如果初始密码过于复杂,很多人会从一个极端走向另外一个极端,使用尽可能的简易密码。
如果存在顺序或者模式,依旧这种方法进行推断,其他系统用户的密码;
如果密码呈现一种可能和用户名有关的联系,那么直接去推测其他用户名和密码;
如果没有能够发现的顺序或者模式,那么这一些系列的用户名和密码,是作为蛮力破解的基础。
1、 简单说明
一些应用程序根据某种顺序自动生成帐户名,当然,现在邮箱、手机、QQ号码成为用户名的可能性越来越高,攻击者们也越来越省事了;一些应用程序在大批量创建用户之后,并自动指定初始密码,然后通过某种方式(邮件、短信)将密码分配给用户。
2、 常见的可预测用户名和密码的漏洞
用户名和密码都能够预测了,理所当然的,这里的漏洞就很大的。可预测的初始化密码,让攻击者能够预测其他应用程序用户的密码,基于内网的企业应用程序经常存在这种漏洞。
如果所有用户都收到相同的密码,或者根据用户名和职务、ID、手机号码等创建的密码,这种密码非常容易被攻破。
比这个更加糟糕的是,很多人有了初始密码之后,几乎不做修改,就一直使用;如果初始密码过于复杂,很多人会从一个极端走向另外一个极端,使用尽可能的简易密码。
3、 常用的攻击策略
如果密码是应用程序生成,设法获得几个尽可能连续的密码,看看是否存在顺序或者模式;如果存在顺序或者模式,依旧这种方法进行推断,其他系统用户的密码;
如果密码呈现一种可能和用户名有关的联系,那么直接去推测其他用户名和密码;
如果没有能够发现的顺序或者模式,那么这一些系列的用户名和密码,是作为蛮力破解的基础。
相关文章推荐
- 看好你的门-验证机制被攻击(1)-保密性不强的密码
- 看好你的门-验证机制被攻击(4)-密码修改、重置功能常见漏洞
- 看好你的门-验证机制被攻击(10)-不够安全的敏感信息存储
- 看好你的门-确保验证机制的安全(4)-防止蛮力攻击登陆
- 看好你的门-验证机制被攻击(5)-“记住我”功能的常见漏洞
- 看好你的门-验证机制被攻击(8)-证书或者敏感信息的分配
- 看好你的门-验证机制被攻击(2)-JAVA蛮力攻击登陆
- 看好你的门-确保验证机制的安全(4)-防止蛮力攻击登陆
- 看好你的门-验证机制被攻击(9)-不严谨的异常处理
- csrf攻击过程 csrf攻击说明 1.用户C打开浏览器,访问受信任网站A,输入用户名和密码请求登录网站A; 2.在用户信息通过验证后,网站A产生Cookie信息并返回给浏览器,此时用户登录网站
- 看好你的门-确保验证机制的安全(5)-防止滥用密码修改和密码找回功能
- 看好你的门-验证机制被攻击(1)附录-中国人可能最常用账号情况
- 看好你的门-验证机制被攻击(6)-用户角色变更系统漏洞
- 看好你的门-确保验证机制的安全(5)-防止滥用密码修改和密码找回功能
- 看好你的门-验证机制被攻击(3)-智能化的蛮力攻击登陆
- WCF学习笔记(三)—— WCF安全模式:基于用户名、密码、X.509的身份验证
- [IE技巧] 查看HTTP 验证的用户名/密码
- 登录用户名和密码的验证
- t-sql 验证用户名,密码
- 用户名和密码验证问题