【web安全】Web应用隔离防护之Web弱口令爆破

最新推荐文章于 2024-06-05 10:59:23 发布
最新推荐文章于 2024-06-05 10:59:23 发布
阅读量3.3k 收藏 11
点赞数 2
分类专栏: 安全 网络 程序员 文章标签: 网络安全 计算机网络 信息安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/HBohan/article/details/120828487
版权

在这里插入图片描述
背景
近些年来,国内政府和企业网站被篡改的类似黑客攻击入侵事件频出,造成的社会影响及经济损失巨大,越来越多的企事业单位高度重视Web应用安全。

其中,黑客针对Web应用资产发起的弱口令攻击尤为常见。

即黑客通过已有的大量账号信息,快速批量验证能够访问目标Web资产的账号。这种攻击方式由于利用难度不大,且一旦获取到目标系统的弱口令,进入目标Web系统,可以扩大攻击者的攻击范围,被广为使用。

学习资料

常见的Web弱口令攻击场景

一类是为了获取目标应用的访问权限,对账号(如Admin、Root等)的密码进行尝试;

另一类是为了获取到目标系统的用户群体信息,如通过对大量手机号的尝试登录,碰撞目标系统可能存在的用户群体,并对碰撞出的用户群,进行有针对性的商业活动。

Web弱口令攻击手法

Web弱口令常见的攻击手法有:准备攻击字典、执行爆破。

准备攻击字典

进行Web弱口令攻击前,黑客需要预先准备攻击用的账号/密码字典。最常见的途径,是通过之前各大网站泄露的口令,进行分类统计和汇总。

2021年初NordPass发布了2020年的弱口令调查统计结果,第一位的还是连续多年霸榜的123456。
在这里插入图片描述
图3-1 弱口令排名

基于历年外泄的用户密码信息,很多攻击者会按照不同的维度,整理出常见用户和常用密码的字典。
在这里插入图片描述
图3-2 口令字典样例

很多Web应用系统出厂时,提供的默认账号口令,也会成为攻击者利用的对象。

最低0.47元/天 解锁文章
IT老涵
关注
  • 2
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
web漏洞-弱口令暴力破解
rumil的博客
05-14 3346
弱口令漏洞没有严格和准确的定义,通常认为容易被别人(他们有可能对你很了解)猜测到或被破解工具破解的口令均为弱口令弱口令指的是仅包含简单数字和字母的口令,例如“123”、“abc”等,因为这样的口令很容易被别人破解,从而使用户的计算机面临风险。
常见web安全漏洞介绍
xunyunai9767的博客
11-16 2632
介绍常见web漏洞,参考OWASP top10漏洞,pikachu靶场
Web安全弱口令漏洞学习总结
最新发布
fly_enum的博客
06-05 1314
弱口令也是安全漏洞的一种,是指系统登录口令的设置强度不高,容易被攻击者猜到或破解。造成弱口令的主要原因是系统的运维人员、管理人员安全意识不足。常见的弱口令形式包括:系统出厂默认口令没有修改;密码设置过于简单,如口令长度不足,单一使用字母或数字;使用了生日、姓名、电话号码、身份证号码等比较容易被攻击者猜到的信息设置口令;设置的口令属于流行口令库中的流行口令。
2022年 上半年网络安全应急响应分析报告
glb111的博客
03-30 473
本文是学习而整理的学习笔记,分享出来希望更多人受益,如果存在侵权请及时联系我们2022年上半年网络安全应急响应分析报告奇安信安服团队2022年7月主要观点摘 要本报告所有分析数据来源于奇安信安服上半年的479次应急响应数据整理,可能存在一定的局限性,报告结论和观点仅供用户参考。应急响应、安全服务、弱口令、敲诈勒索、漏洞利用目 录。
【网络】常见36种web渗透测试漏洞描述及解决方法
ZL_1618的博客
01-08 813
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
Web安全漏洞-弱口令 常见处理方式
u013756836的专栏
06-01 6742
漏洞通用描述 攻击者通过密码爆破, 撞库等攻击方法, 破解用户账户密码.根据《58集团密码管理制度》中说明,公司密码不能使用弱密码,即容易被猜解的密码。 常见修复方案 立即修改密码,密码设置要求如下: 1.所有的密码必须具有足够的长度和复杂度。 ——密码要求8位以上,包含大小写字母、数字、特殊符号等类型中至少两种。 2.所有密码之间不能有任何关联,如不能由邮箱的密码推测出OA的密码。 3.所有密码不得采用单一的英文单词、拼音或其他有意义的词语和符号,如员工的姓名拼音、生日等。 4.不同安全..
web弱口令探测开发套件
11-03
在做安全测试的时候,随着资产的增多,经常会遇到需要快速检测大量网站后台弱...然而市面上并没有一个比较好的解决方案,能够支持对各种网站后台的通用检测,WebCrack是一款web后台弱口令/万能密码批量爆破、检测工具
WEB安全评估与防护.pdf
03-16
Web安全评估与防护是针对基于浏览器/服务器架构的Web应用进行的安全审查,旨在发现并解决潜在的安全问题。随着Web2.0技术的广泛应用Web安全的重要性日益凸显。2008年的X-Force报告显示,Web安全事件的数量急剧增长...
国科大+Web安全技术+口令破解大作业
03-10
关于国科大web安全技术大作业,口令破解的部分代码,仅供参考。包括密码特征提取、密码特征统计、密码暴力猜测。
web安全:口令构成分析(python实现)【代码】
11-15
国科大web安全技术大作业,分析国内某网站泄露的600万口令,分析其特点并生成一个字典,由于是团队作业,这里只放上我的部分:分析口令长度以及口令结构特点。
top3000弱口令.txt
03-31
3000经典弱口令字典
webservice 密码弱口令漏洞病毒防御介绍
04-23
webservice 如果默认为弱口令,很可能被上传病毒文件,此文档较详细的介绍了病毒的特性和病毒的查杀和防御问题。
弱口令扫描(稳定版)
07-28
一个很好的东西,已修复bug,性能较稳定
弱口令(Weak Password)总结和爆破工具
yy1715713348的博客
06-10 3946
网站管理、运营人员由于安全意识不足,为了方便、避免忘记密码等,使用了非常容易记住的密码,或者是直接采用了系统的默认密码等。攻击者利用此漏洞可直接进入应用系统或者管理系统,从而进行系统、网页、数据的篡改与删除,非法获取系统、用户的数据,甚至可能导致服务器沦陷。弱口令(weak password) 没有严格和准确的定义,通常认为容易被别人(他们有可能对你很了解)猜测到或被破解工具破解的口令均为弱口令
1. Web安全—渗透测试用例—弱口令/空口令
weixin_43567873的博客
03-20 1021
1. Web安全—渗透测试用例—弱口令/空口令
漏洞-弱口令介绍与自动攻击示范
KD的疯狂实验室
11-07 7647
基本漏洞类型与弱口令top100, web测试密码爆破遍历与弱口令尝试神器Burp的攻击演示
渗透术语
千寻的博客
01-13 1290
一 渗透术语 1.肉鸡 所谓“肉鸡”是一种很形象的比喻,比喻那些可以随意被我们控制的电脑,对方可以是WINDOWS系统,也可以是UNIX/LINUX系统,可以是普通的个人电脑,也可以是大型的服务器,我们可以象操作自己的电脑那样来操作它们,而不被对方所发觉。 2.木马 就是那些表面上伪装成了正常的程序,但是当这些被程序运行时,就会获取系统的整个控制权限。有很多黑客就是热中与使用木马程序来控制别人的...
Web安全知多少
weixin_30896511的博客
08-05 1096
随着Web2.0、网络社交等一系列新型的互联网产品的诞生,基于Web环境的互联网应用越来越广泛,企业信息化的过程中,越来越多的应用都架设在Web平台上。Web业务的迅速发展吸引了黑客们的强烈关注,接踵而至的就是Web安全威胁的凸显。黑客利用网站操作系统的漏洞和Web服务程序的SQL注入漏洞等得到Web服务器的控制权限,轻则篡改网页内容,重则窃取重要内部数据,更为严重的则是在网页中植入恶意代码,使得...
web攻击方法及防御总结
weixin_33881041的博客
04-16 342
1. CSRF (cross-site request forgery)跨站请求伪造 一句话概括: 当用户浏览器同时打开危险网站和正常网站,危险网站利用图片隐藏链接,或者js文件操纵用户生成错误请求给正常网站。此时因为用户会携带自己的session验证。危险网站发出的请求得以执行。 根本原因:web的隐式身份验证机制解决办法: 为每一个...
burpsuite弱口令爆破
09-03
Burp Suite是一款专业的网络安全测试工具,其中的Intruder模块可以用于弱口令爆破。在使用Burp Suite进行弱口令爆破时,首先需要选择弱口令爆破模式,并添加一个爆破字典。 对于题目中的weak_auth,它是指弱口令爆破。在登录界面中,我们可以尝试使用admin作为用户名和密码进行尝试。同时,在网页源码中也提示了可能需要一个字典。 在进行弱口令爆破之前,需要进行抓包操作。抓包的目的是捕获输入用户名和密码的过程,以便进行后续的爆破操作。在抓包过程中,需要注意只需要框选出password字段即可,前面的username字段不需要包含在内。 通过以上步骤,我们可以使用Burp Suite的弱口令爆破功能进行相应的操作。请注意,在进行任何安全测试操作时,应该遵守法律和道德规范,只在合法授权的范围内使用这些工具。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *3* [利用burp suite进行弱口令爆破 (攻防世界web weak_auth)](https://blog.csdn.net/weixin_43092232/article/details/104555086)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *2* [基于BurpSuite的弱口令爆破](https://blog.csdn.net/m0_51345235/article/details/131174757)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值