【web安全】Web应用隔离防护之Web弱口令爆破

最新推荐文章于 2024-08-20 14:48:54 发布
最新推荐文章于 2024-08-20 14:48:54 发布
阅读量3.4k 收藏 12
点赞数 2
分类专栏: 安全 网络 程序员 文章标签: 网络安全 计算机网络 信息安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/HBohan/article/details/120828487
版权
本文介绍了Web弱口令攻击的常见场景和手法,包括利用已知弱口令字典进行爆破。针对这一问题,提出了Web应用隔离防护的解决方案,通过隐藏真实接口、过滤请求类型、加密URL以及弱口令输入检查等方式,有效防止弱口令攻击。
摘要由CSDN通过智能技术生成

在这里插入图片描述
背景
近些年来,国内政府和企业网站被篡改的类似黑客攻击入侵事件频出,造成的社会影响及经济损失巨大,越来越多的企事业单位高度重视Web应用安全。

其中,黑客针对Web应用资产发起的弱口令攻击尤为常见。

即黑客通过已有的大量账号信息,快速批量验证能够访问目标Web资产的账号。这种攻击方式由于利用难度不大,且一旦获取到目标系统的弱口令,进入目标Web系统,可以扩大攻击者的攻击范围,被广为使用。

学习资料

常见的Web弱口令攻击场景

一类是为了获取目标应用的访问权限,对账号(如Admin、Root等)的密码进行尝试;

另一类是为了获取到目标系统的用户群体信息,如通过对大量手机号的尝试登录,碰撞目标系统可能存在的用户群体,并对碰撞出的用户群,进行有针对性的商业活动。

Web弱口令攻击手法

Web弱口令常见的攻击手法有:准备攻击字典、执行爆破。

准备攻击字典

进行Web弱口令攻击前,黑客需要预先准备攻击用的账号/密码字典。最常见的途径,是通过之前各大网站泄露的口令,进行分类统计和汇总。

2021年初NordPass发布了2020年的弱口令调查统计结果,第一位的还是连续多年霸榜的123456。
在这里插入图片描述
图3-1 弱口令排名

基于历年外泄的用户密码信息,很多攻击者会按照不同的维度,整理出常见用户和常用密码的字典。
在这里插入图片描述
图3-2 口令字典样例

很多Web应用系统出厂时,提供的默认账号口令,也会成为攻击者利用的对象。

最低0.47元/天 解锁文章
IT老涵
关注
专栏目录
[网络安全自学篇] 四十八.Cracer第八期——(1)安全术语、Web渗透流程、Windows基础、注册表及黑客常用DOS命令
杨秀璋的专栏
02-21 2万+
这是作者的网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步。前文分享了微软证书漏洞(CVE-2020-0601),并详细讲解了Windows验证机制、可执行文件签名复现及HTTPS劫持。本文将分享另一个主题——Cracer教程,第一篇文章将详细讲解安全术语、Web渗透流程和Windows基础、注册表及黑客常用DOS命令。基础性文章,希望对您有所帮助。
[网络安全提高篇] 一一二.DataCon Coremail邮件安全竞赛之钓鱼邮件识别及分类
杨秀璋的专栏
10-26 2万+
这是作者2020年参加清华大学、Coremail、奇安信DataCon举办的比赛,主要是关于钓鱼和异常邮件识别研究。非常感谢举办方让我们学到了新知识,DataCon也是我比较喜欢和推荐的大数据安全比赛,这篇文章2020年10月就进了我的草稿箱,但由于小珞珞刚出生,所以今天才发表,希望对您有所帮助!感恩同行,不负青春。
WEB安全基础 - - -弱口令和暴力破解
weixin_67503304的博客
08-06 3761
简单介绍弱口令和暴力破解工具,总体对弱口令进行大体的简介,适合初学者入门。
web漏洞】弱口令
热门推荐
qq_21193587的博客
06-04 4万+
弱口令 漏洞介绍 弱口令也是安全漏洞的一种,是指系统登录口令的设置强度不高,容易被攻击者猜到或 破解。造成弱口令的主要原因是系统的运维人员、管理人员安全意识不足。常见的弱口令形 式包括:系统出厂默认口令没有修改;密码设置过于简单,如口令长度不足,单一使用字母 或数字;使用了生日、姓名、电话号码、身份证号码等比较容易被攻击者猜到的信息设置口 令;设置的口令属于流行口令库中的流行口令。 漏洞危害 绝大多数企业有一定用户数,对安全密码复杂对没有安全基准或落实不到位,都会存在弱密码,会看似符合密码复杂度要求的密码,
弱口令(Weak Password)总结和爆破工具
最新发布
zzz6583zz的博客
08-20 1062
网站管理、运营人员由于安全意识不足,为了方便、避免忘记密码等,使用了非常容易记住的密码,或者是直接采用了系统的默认密码等。攻击者利用此漏洞可直接进入应用系统或者管理系统,从而进行系统、网页、数据的篡改与删除,非法获取系统、用户的数据,甚至可能导致服务器沦陷。弱口令(weak password) 没有严格和准确的定义,通常认为容易被别人(他们有可能对你很了解)猜测到或被破解工具破解的口令均为弱口令
口令爆破web安全
weixin_51758733的博客
10-03 419
口令爆破web安全
web漏洞-弱口令暴力破解
rumil的博客
05-14 3806
弱口令漏洞没有严格和准确的定义,通常认为容易被别人(他们有可能对你很了解)猜测到或被破解工具破解的口令均为弱口令弱口令指的是仅包含简单数字和字母的口令,例如“123”、“abc”等,因为这样的口令很容易被别人破解,从而使用户的计算机面临风险。
WEB常见弱口令
weixin_30551963的博客
09-19 2100
Tomcat:默认端口8080,默认密码tomcat tomcat,后台地址IP:8080/manager/html Weblogic:默认端口7001,默认密码weblogic weblogic,后台地址IP:7001/console(http为7001,https为7002) Jboss:默认端口9990 JOnAS:默认端口9000后台:IP:9000/jonasAdmin/ ...
[网络安全提高篇] 一一三.Powershell恶意代码检测 (1)论文总结及抽象语法树(AST)提取
杨秀璋的专栏
03-11 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。这篇文章将详细讲解PowerShell、Powershell恶意代码检测总结及抽象语法树(AST)提取。希望这篇文章对您有帮助,也推荐大家去阅读论文,且看且珍惜。
[网络安全自学篇] 七十一.深信服分享之外部威胁防护和勒索病毒对抗
杨秀璋的专栏
04-29 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步。前面三篇文章详细分享了WannaCry勒索病毒,包括病毒复现、IDA和OD逆向分析蠕虫传播、防护措施等,那么如何防护呢?所以,接下来这篇文章作者将分享来自深信服老师的《外部威胁防护和勒索病毒对抗》,带领大家看看知名安全厂商的威胁防护措施,包括网络安全面临的挑战、如何有效的应对挑战、深信服安全建设之道等。基础性文章,希望对您有所帮助,如果存在错误或不足之处,还望告知,加油!
WebShell密码爆破
10-23
WebShell密码爆破工具V1.0教程
webservice 密码弱口令漏洞病毒防御介绍
04-23
webservice 如果默认为弱口令,很可能被上传病毒文件,此文档较详细的介绍了病毒的特性和病毒的查杀和防御问题。
探索Shelter:一个强大的Web应用隔离平台
gitblog_00093的博客
04-08 323
探索Shelter:一个强大的Web应用隔离平台 项目地址:https://gitcode.com/larrow/shelter Shelter 是一个创新的Web应用隔离平台,它利用沙箱技术为用户提供安全、独立的环境来运行和测试Web应用程序。该项目的目标是让用户在不担心潜在风险的情况下,可以自由地探索、调试或演示Web应用。 技术解析 Shelter的核心在于其基于浏览器内核的沙箱机制。它通过...
web—暴力破解
weixin_43916678的博客
02-15 4927
暴力破解”是一攻击具手段,在web攻击中,一般会使用这种手段对应用系统的认证信息进行获取。 其过程就是使用大量的认证信息在认证接口进行尝试登录,直到得到正确的结果。 为了提高效率,暴力破解一般会使用带有字典的工具来进行自动化操作。 理论上来说,大多数系统都是可以被暴力破解的,只要攻击者有足够强大的计算能力和时间,所以断定一个系统是否存在暴力破解漏洞,其条件也不是绝对的。 我们说一个web应用系统存在暴力破解漏洞,一般是指该web应用系统没有采用或者采用了比较弱的认证安全策略,导致其被暴力破解的“可能性”变的
web的基本漏洞--弱口令漏洞
尽欢
05-30 6229
弱口令漏洞介绍
1. Web安全—渗透测试用例—弱口令/空口令
weixin_43567873的博客
03-20 1596
1. Web安全—渗透测试用例—弱口令/空口令
互联网公司站点通病之弱口令
weixin_30780649的博客
01-23 200
在补天平台经常看到@合肥滨湖虎子这样的大牛刷通用,这些通用系统有开源的也有不开源的。但是像用友,shopex这些非开源系统做黑盒测试,会非常困难。作为新闻专业的学生我很好奇:这些大牛到底是通过什么方法审计到这些系统漏洞呢?为了一探究竟,我带上了肥皂,备好了菊花,找到了补天某通用大牛进行了一次面对面的采访(为保护大牛隐私,此处没有图片)。最终找到深层次的原因,由于某些互联网公司站群及内网系统...
SQL注入示例:Web安全防护关键
SQL注入是OWASP(开放式Web应用程序安全项目)特别关注的问题,它列为了十大Web弱点防护守则之一的A1。OWASP是一个致力于提高Web应用安全性的非盈利组织,他们通过研究和发布标准、工具和技术文档,帮助企业和政府...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值