背景
近些年来,国内政府和企业网站被篡改的类似黑客攻击入侵事件频出,造成的社会影响及经济损失巨大,越来越多的企事业单位高度重视Web应用安全。
其中,黑客针对Web应用资产发起的弱口令攻击尤为常见。
即黑客通过已有的大量账号信息,快速批量验证能够访问目标Web资产的账号。这种攻击方式由于利用难度不大,且一旦获取到目标系统的弱口令,进入目标Web系统,可以扩大攻击者的攻击范围,被广为使用。
【学习资料】
常见的Web弱口令攻击场景
一类是为了获取目标应用的访问权限,对账号(如Admin、Root等)的密码进行尝试;
另一类是为了获取到目标系统的用户群体信息,如通过对大量手机号的尝试登录,碰撞目标系统可能存在的用户群体,并对碰撞出的用户群,进行有针对性的商业活动。
Web弱口令攻击手法
Web弱口令常见的攻击手法有:准备攻击字典、执行爆破。
准备攻击字典
进行Web弱口令攻击前,黑客需要预先准备攻击用的账号/密码字典。最常见的途径,是通过之前各大网站泄露的口令,进行分类统计和汇总。
2021年初NordPass发布了2020年的弱口令调查统计结果,第一位的还是连续多年霸榜的123456。
图3-1 弱口令排名
基于历年外泄的用户密码信息,很多攻击者会按照不同的维度,整理出常见用户和常用密码的字典。
图3-2 口令字典样例
很多Web应用系统出厂时,提供的默认账号口令,也会成为攻击者利用的对象。