【漏洞挖掘】——74、弱口令攻防原理

FLy_鹏程万里

于 2024-06-11 17:41:01 发布

阅读量142

点赞数

分类专栏：【WEB渗透】文章标签：网络安全 web安全渗透测试信息安全网络安全

本文链接：https://blog.csdn.net/Fly_hps/article/details/139604980

版权

【WEB渗透】专栏收录该内容

165 篇文章 13 订阅 ¥29.90 ¥99.00

订阅专栏

基本介绍

弱口令(Weak Password)是指使用常见、简单、易猜测的密码或者使用与用户名、公司名或其他易猜测信息相关的密码，这些密码通常非常简单且容易被攻击者通过暴力破解、字典攻击等方式猜到或破解，从而导致账户和系统的安全风险，弱口令的特点通常包括以下几点：

长度短：弱口令往往只有6-8个字符，长度较短

易猜测：弱口令往往使用常见的单词、名字、生日等与用户相关的信息，或者是一些容易猜测的字符组合
结构简单：弱口令往往只使用数字、字母或符号中的一种或几种，缺乏复杂的组合和结构，攻击者使用字典即可进行猜解
重复使用：弱口令往往被用户在多个账户或系统中重复使用，一旦其中一个账户被攻击者破解，则所有账户都面临安全风险

漏洞成因

弱口令漏洞的产生基于以下原因：

网站上线前未删除测试账户
使用CMS默认的初始账户密码
网站没有设计账号密码安全策略
网站存在被暴力破解攻击的风险

常见口令

admin/admin
admin/admin123
ammin/123456    
admin/666666
admin/88888888
admin/admin888
admin/网站域名
.....

漏

了解本专栏

订阅专栏解锁全文

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

FLy_鹏程万里

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
打赏
0
评论
复制链接

分享到 QQ

分享到新浪微博

扫一扫

专栏目录

订阅专栏

【漏洞挖掘】——48、 URL跳转攻防原理

Fly_鹏程万里

06-07

基本介绍URL跳转是指当用户访问一个URL(统一资源定位符)时，服务器将用户重定向到另一个URL的过程，这种重定向可以是临时的(HTTP 302)或永久的(HTTP 301)，并且可以在同一域名下或不同域名之间进行跳转，如果网站接受用户输入的链接并跳转到一个攻击者控制的网站，那么将有可能导致跳转过去的用户被精心设置的钓鱼页面骗走自己的个人信息和登录口令常见场景URL跳转通常用于以下情况：网站重定向：用户站内点击其它网址链接时会跳转认证和授权：用户登录、统一身份认证处，认证完后会跳转临时永久。

白帽子修炼第二步(漏洞篇)[弱口令]-①.

05-29

米斯特web安全培训第一期，漏洞篇-1弱口令

参与评论您还未登录，请先登录后发表或查看评论

记一次挖掘弱口令漏洞--弱口令之夜

花城的博客

07-03

1073

记一次挖掘弱口令漏洞--弱口令之夜

浅谈弱口令

thinkerABC的专栏

02-14

6374

弱口令(weak password) 没有严格和准确的定义，通常认为容易被别人（他们有可能对你很了解）猜测到或被破解工具破解的口令均为弱口令。在当今很多地方以用户名(帐号)和口令作为鉴权的世界，口令的重要性就可想而知了。口令就相当于进入家门的钥匙，当他人有一把可以进入你家的钥匙，想想你的安全、你的财物、你的隐私......害怕了吧。因为弱口令很容易被他人猜到或破解，所以如果你使用弱口令，就像

web漏洞-弱口令暴力破解

rumil的博客

05-14

3797

弱口令漏洞没有严格和准确的定义，通常认为容易被别人（他们有可能对你很了解）猜测到或被破解工具破解的口令均为弱口令。弱口令指的是仅包含简单数字和字母的口令，例如“123”、“abc”等，因为这样的口令很容易被别人破解，从而使用户的计算机面临风险。

偶然的一次漏洞挖掘从弱口令到Docker逃逸漏洞

Askshhbs的博客

04-25

237

网络安全，web，Kali，渗透测试相关课件，工具，资料可以关注公众号：“掌控安全课堂” 回复：“我想学黑客”即可免费获得前言前两天一直在敲代码写工具，主要目的是想方便自己在渗透测试中前期的信息收集。在测试脚本进行批量扫描的时候，看见一个熟悉的edu域名，欸?这不是之前交过edusrc平台的某个站点吗。又给我扫到啥敏感信息了? 前期信息收集打开网站瞎转悠一波，不出意外的话是个静态站点。往下翻这几个点击全部跳转到了一个登陆口前端大概就这样. Web整体架构: 操作

细说漏洞挖掘

bluemoon_0的博客

03-14

239

细说漏洞挖掘

网络攻防实战研究漏洞利用与提权读书笔记二

一枚努力的蛋蛋

08-24

3267

网络攻防实战研究漏洞利用与提权读书笔记二第2章 Windows漏洞利用与提权2.1 Windows提权基础2.1.1 Windows提权信息的收集2.1.2 Windows提权准备2.1.3 使用MSF平台搜索可利用的POC2.1.4 实施提权2.1.5 停用安全狗2.2 提权辅助工具Windows-Exploit-Suggester2.2.1 Windows-Exploit-Suggester...

弱口令扫描器

11-21

为了探测到可以登录的用户名和密码，攻击者往往使用扫描技术来探测用户名和弱口令

弱口令的分析和爆破工具使用

weixin_30500289的博客

08-03

854

弱口令是个很常见的漏洞，基本上很多网站都会存在这个漏洞，可能很多认为，弱口令算什么漏洞，，，这样说吧，比如你在网上注册一些论坛，你的账号可能是你的QQ号的昵称，密码了？随便一些，123456，这些简单的密码，那我不就可以轻易的猜解出你的账密，并登陆你的账号了？好了正文开始了... 弱口令可分为默认密码和简单的弱密码，其中默认密码，随便一个渗透者，都会去尝试的，比如说，当我们拿到一个需要测...

新手小白如何快速挖到第一个漏洞

m0_53844310的博客

02-04

1501

新手小白如何快速挖到第一个漏洞

弱口令(Weak Password)总结和爆破工具

cc123489ll的博客

05-17

878

网站管理、运营人员由于安全意识不足，为了方便、避免忘记密码等，使用了非常容易记住的密码，或者是直接采用了系统的默认密码等。攻击者利用此漏洞可直接进入应用系统或者管理系统，从而进行系统、网页、数据的篡改与删除，非法获取系统、用户的数据，甚至可能导致服务器沦陷。弱口令(weak password) 没有严格和准确的定义，通常认为容易被别人（他们有可能对你很了解）猜测到或被破解工具破解的口令均为弱口令。

弱口令暴力破解详解（包含工具、字典下载地址）_弱口令字典下载

最新发布

2401_84215240的博客

06-05

1247

*弱口令(weak password) 没有严格和准确的定义，通常认为容易被别人（他们有可能对你很了解）猜测到或被破解工具破解的口令均为弱口令，通常与管理的安全意识和平台的初始化配置等相关，通过系统弱口令，可被黑客直接获得系统控制权限。****在常见的安全测试中，弱口令会产生安全的各个领域，包括 Web 应用，安全设备，平台组件，操作系统等；如何获取弱口令，利用弱口令成为了此类安全问题的关键！**

弱口令与暴力破解

周星星的博客

08-21

2661

弱口令，暴力破解，Tomcat弱口令

如何成为一名黑客（网络安全从业者）——网络攻击技术篇（1/8 扫描技术）

Mr.Quark

09-14

1万+

大家好，我是Mr.Quark，又和大家见面了，今天我要和大家分享的是网络攻击技术八篇中的第一篇：扫描技术，在未来的几天里，将会陆续发布其余部分。希望大家在学习后仅在自己的操作系统或者虚拟机上实验，如果你想为别人的计算机做安全测试，请取得授权。喜欢本文的朋友，欢迎转载。下面进入正题。↓↓↓ 我们先模拟一个场景有一个叫老K 的黑帽黑客，他以非法进入其他公司的官方

弱口令介绍及破解方式

weixin_56990703的博客

04-02

1万+

一、弱口令的定义仅包含简单数字和字母的口令，例如“123”、“abc”等，因为这样的口令很容易被别人破解，从而使用户的计算机面临风险，因此不推荐用户使用。二、弱口令的特点 1、连续字符串（如aaaa，abc等） 2、数字数字通常会包含个人信息，如生日、身份证号的某几位。 3、字符串+数字；数字+字符串；重复数字或字符串的组合三、安全口令的要求（有效防止弱口令） 1.不使用空口令或系统缺省的口令，因为这些口令众所周知，为典型的弱口令。 2.口令长度不小于8个字符。 3.口令不应该为

web安全之弱口令漏洞学习总结

初岄的博客

01-27

8444

web安全之弱口令漏洞学习总结

米斯特白帽培训讲义漏洞篇 弱口令、爆破、遍历