【web安全】弱口令,以及不同领域的弱口令爆破

最新推荐文章于 2024-08-21 11:43:23 发布
最新推荐文章于 2024-08-21 11:43:23 发布
阅读量699 收藏 10
点赞数 5
分类专栏: # web渗透 文章标签: web安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2302_79590880/article/details/135557781
版权
本文详细解释了弱口令的概念,包括简单常用的易记密码、与个人信息相关的密码和默认密码。还介绍了如何通过收集个人信息、利用默认密码字典和使用工具如burp和hydra进行密码爆破,以及针对不同类型文件的密码破解方法。
摘要由CSDN通过智能技术生成

弱口令的概念

简单的理解就是简单的,容易让别人猜出来的密码。

弱口令的分类

弱口令分了三类

简单常用的易记密码

这种密码是人均常用的密码,比如活到了这么大,我见过很多很多的wifl密码是88888888或者12345678这种的密码。很多情况下数据库教你改密码的教程都是拿123456做例子,照着做完步骤后也跟着改成了一个123456。这种属于简单常用的弱口令。

跟个人信息有关的密码

有很大一部分人喜欢用自己的身份信息作为密码,人数很多,基本上每个人身边都有这种习惯的人。我身边很多喜欢用身份信息作为密码的人。这种也属于一种弱口令。

默认密码

很多的cms,数据库等都会给一个默认的密码,这些密码要是不更改的话可以直接进入。

个人有关的密码字典生成

网站可以用这个。

k密码字典生成器|在线密码字典生成rr

但是我测试了一下他生成的并不是很全。有些比如姓名字母开头的这种类型的密码并没有生成。

弱口令检验思路

与个人信息有关的密码

先收集信息,尽量收集个人信息,可以先查看一下这个网站的备案什么的搜集一下信息。

天眼查-商业查询平台_企业信息查询_公司查询_工商查询_企业信用信息系统

然后就是有些网站是可以查询他的历史被爆出的密码的。可以通过这类网站查看是否有使用个人信息作为密码的习惯。

最后再进行密码爆破。

默认密码

这类密码有两个测试方法

1.搜集网站使用的什么有固定密码的服务,然后在网上搜集这种服务的默认密码。

2.或者已知某cms或者服务的默认密码,然后去暗浏览器上搜这种服务的网站。

简单密码

直接字典跑就行了

不同领域的爆破工具

web爆破

网站的爆破一般是可以使用burp的爆破模块就可以完成

避免太长都在其他博客中。

【web安全】密码爆破讲解,以及burp的爆破功能使用方法-CSDN博客

远程终端数据库等爆破

想数据库远程终端这种也是可以爆破的。

通常可以使用老牌hydra进行爆破。

避免过长写在其他博客中了。

【信息安全】hydra爆破工具的使用方法-CSDN博客

一些软件的密码破译

比如zip压缩包,word,ppt这种的,就可以使用passfob的软件进行破解。都是找个字典一键就可以破解。

北岭敲键盘的荒漠猫
关注
专栏目录
WEB安全基础 - - -弱口令和暴力破解
weixin_67503304的博客
08-06 3789
简单介绍弱口令和暴力破解工具,总体对弱口令进行大体的简介,适合初学者入门。
密码安全(非常详细)零基础入门到精通,收藏这一篇就够了
Python_paipai的博客
02-05 681
hydra:著名黑客组织 thc 的一款开源的暴力破解工具,主要对需要网络登录的系统进行快速的字典攻击,包括 FTP、POP3、IMAP、Netbios、Telnet、HTTP Auth、LDAP NNTP、VNC、ICQ、Socks5、PCNFS 等协议!排列组合:将数字、大写字母、小写字母、各种特殊字符排列组合,若是在不知道密码的长度情况下需要更多的逐渐增多位数,这样的运算量非常的大,这种方法需要高性能的破解算法和CPU/GPU做支持。所以暴力破解是万不得已的做法,效率太低,而且破解成功的几率不高。
Web 弱密码暴力破解
最新发布
Python84310366的博客
08-21 1121
暴力破解法(Brute Force)又被称为穷举法,是一种密码分析的方法,即将密码进行逐个推算直到找出真正的密码为止。例如一个已知是四位并且全部由数字组成的密码,其可能共有10000种组合,因此最多尝试9999次就能找到正确的密码。理论上除了具有完善保密性的密码以外,利用这种方法可以破解任何一种密码,问题只在于如何缩短试误时间。有些人运用计算机来增加效率,有些人辅以字典来缩小密码组合的范围。
弱口令安全&弱口令字典_web弱口令字典
Innocence_0的博客
11-10 228
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
web渗透测试---密码破解
Manny的博客
09-20 1219
密码破解方式 1.Dictionary字典 2.Rainbow Table彩虹表(hash MD5提高查询效率) 3.Brute Force暴力枚举 4.Hybrid 混合式攻击 5.comminly used passwords常用密码 密码工具硬件 1.Botnet僵尸网络 2.GPU显卡 3.ASIC专用集成电路 (1)工具使用例子—hashcat hashcat -help 查看帮助 掩码...
web漏洞-弱口令暴力破解
rumil的博客
05-14 3878
弱口令漏洞没有严格和准确的定义,通常认为容易被别人(他们有可能对你很了解)猜测到或被破解工具破解的口令均为弱口令弱口令指的是仅包含简单数字和字母的口令,例如“123”、“abc”等,因为这样的口令很容易被别人破解,从而使用户的计算机面临风险。
一款基于C#的web后台弱口令爆破、检测工具 .zip
03-17
适用于希望学习不同技术领域的小白或进阶学习者。 可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。 【附加价值】: 项目具有较高的学习借鉴价值,也可直接拿来修改复刻。 对于有一定基础或热衷于研究...
web安全Web应用隔离防护之Web弱口令爆破
HBohan的博客
10-18 3504
背景 近些年来,国内政府和企业网站被篡改的类似黑客攻击入侵事件频出,造成的社会影响及经济损失巨大,越来越多的企事业单位高度重视Web应用安全。 其中,黑客针对Web应用资产发起的弱口令攻击尤为常见。 即黑客通过已有的大量账号信息,快速批量验证能够访问目标Web资产的账号。这种攻击方式由于利用难度不大,且一旦获取到目标系统的弱口令,进入目标Web系统,可以扩大攻击者的攻击范围,被广为使用。 【学习资料】 常见的Web弱口令攻击场景 一类是为了获取目标应用的访问权限,对账号(如Admin、Root等)的密码进.
web 批量爆破 WebCrack是一款开源免费的web后台弱口令/万能密码批量爆破、检测工具
09-01
WebCrack是一款针对Web后台弱口令和万能密码进行批量爆破和检测的专业工具,主要服务于网络安全领域,尤其在网站安全审计中扮演重要角色。它以开源免费的形式提供,鼓励用户参与开发和改进,从而不断提升其功能和...
top3000弱口令.txt
03-31
3000经典弱口令字典
web弱口令探测开发套件
11-03
在做安全测试的时候,随着资产的增多,经常会遇到需要快速检测大量网站后台弱...然而市面上并没有一个比较好的解决方案,能够支持对各种网站后台的通用检测,WebCrack是一款web后台弱口令/万能密码批量爆破、检测工具
webservice 密码弱口令漏洞病毒防御介绍
04-23
webservice 如果默认为弱口令,很可能被上传病毒文件,此文档较详细的介绍了病毒的特性和病毒的查杀和防御问题。
13-弱口令破解
weixin_57448301的博客
04-05 405
弱口令爆破靶场演练:1.无验证码爆破。2.验证码前端验证。3.验证码不失效
web漏洞】弱口令
热门推荐
qq_21193587的博客
06-04 4万+
弱口令 漏洞介绍 弱口令也是安全漏洞的一种,是指系统登录口令的设置强度不高,容易被攻击者猜到或 破解。造成弱口令的主要原因是系统的运维人员、管理人员安全意识不足。常见的弱口令形 式包括:系统出厂默认口令没有修改;密码设置过于简单,如口令长度不足,单一使用字母 或数字;使用了生日、姓名、电话号码、身份证号码等比较容易被攻击者猜到的信息设置口 令;设置的口令属于流行口令库中的流行口令。 漏洞危害 绝大多数企业有一定用户数,对安全密码复杂对没有安全基准或落实不到位,都会存在弱密码,会看似符合密码复杂度要求的密码,
web的基本漏洞--弱口令漏洞
尽欢
05-30 6467
弱口令漏洞介绍
常见web安全漏洞介绍
xunyunai9767的博客
11-16 2714
介绍常见web漏洞,参考OWASP top10漏洞,pikachu靶场
1. Web安全—渗透测试用例—弱口令/空口令
weixin_43567873的博客
03-20 1701
1. Web安全—渗透测试用例—弱口令/空口令
web安全弱口令漏洞学习总结
初岄的博客
01-27 8475
web安全弱口令漏洞学习总结
Web安全漏洞-弱口令 常见处理方式
u013756836的专栏
06-01 7023
漏洞通用描述 攻击者通过密码爆破, 撞库等攻击方法, 破解用户账户密码.根据《58集团密码管理制度》中说明,公司密码不能使用弱密码,即容易被猜解的密码。 常见修复方案 立即修改密码,密码设置要求如下: 1.所有的密码必须具有足够的长度和复杂度。 ——密码要求8位以上,包含大小写字母、数字、特殊符号等类型中至少两种。 2.所有密码之间不能有任何关联,如不能由邮箱的密码推测出OA的密码。 3.所有密码不得采用单一的英文单词、拼音或其他有意义的词语和符号,如员工的姓名拼音、生日等。 4.不同安全..
burpsuite弱口令爆破
09-03
Burp Suite是一款专业的网络安全测试工具,其中的Intruder模块可以用于弱口令爆破。在使用Burp Suite进行弱口令爆破时,首先需要选择弱口令爆破模式,并添加一个爆破字典。 对于题目中的weak_auth,它是指弱口令爆破。在登录界面中,我们可以尝试使用admin作为用户名和密码进行尝试。同时,在网页源码中也提示了可能需要一个字典。 在进行弱口令爆破之前,需要进行抓包操作。抓包的目的是捕获输入用户名和密码的过程,以便进行后续的爆破操作。在抓包过程中,需要注意只需要框选出password字段即可,前面的username字段不需要包含在内。 通过以上步骤,我们可以使用Burp Suite的弱口令爆破功能进行相应的操作。请注意,在进行任何安全测试操作时,应该遵守法律和道德规范,只在合法授权的范围内使用这些工具。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *3* [利用burp suite进行弱口令爆破 (攻防世界web weak_auth)](https://blog.csdn.net/weixin_43092232/article/details/104555086)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *2* [基于BurpSuite的弱口令爆破](https://blog.csdn.net/m0_51345235/article/details/131174757)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

北岭敲键盘的荒漠猫

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值