Web安全漏洞-弱口令 常见处理方式

最新推荐文章于 2024-06-05 10:59:23 发布
最新推荐文章于 2024-06-05 10:59:23 发布
阅读量6.7k 收藏 2
点赞数
分类专栏: xss 文章标签: xss
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013756836/article/details/106477727
版权

漏洞通用描述

攻击者通过密码爆破, 撞库等攻击方法, 破解用户账户密码.根据《58集团密码管理制度》中说明,公司密码不能使用弱密码,即容易被猜解的密码。

常见修复方案

立即修改密码,密码设置要求如下:

1.所有的密码必须具有足够的长度和复杂度。 ——密码要求8位以上,包含大小写字母、数字、特殊符号等类型中至少两种。 

2.所有密码之间不能有任何关联,如不能由邮箱的密码推测出OA的密码。

3.所有密码不得采用单一的英文单词、拼音或其他有意义的词语和符号,如员工的姓名拼音、生日等。 

4.不同安全等级、不同用途的帐号应设置不同密码,禁止使用同一密码。 

5.错误提示修改, 不要给出明确的错误方向提示(如: 用户名不存在, 密码错误)

6.增加验证码规则

小入门
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
弱口令之暴力破解
weixin_72543266的博客
04-22 1094
本来想在打靶场的同时结合实战案例放在一起进行分享,结果发现篇幅太长,也不利于看,就放在下一篇中结合着一起来看,当然我也会在下面的靶场中,写出具体的一些实战遇到的解释,为什么要着重来写这个,能用弱口令进入的页面是获得权限以及获取其他漏洞的最好方式了,实在没办法的话,采取其他战术.弱口令是指容易被猜测或破解的密码,而爆破破解是一种通过穷举法尝试所有可能的密码组合以破解密码的方法。弱口令通常指的是那些强度不高、容易被人猜到或者被破解工具所破解的密码。
web安全】Web应用隔离防护之Web弱口令爆破
HBohan的博客
10-18 3411
背景 近些年来,国内政府和企业网站被篡改的类似黑客攻击入侵事件频出,造成的社会影响及经济损失巨大,越来越多的企事业单位高度重视Web应用安全。 其中,黑客针对Web应用资产发起的弱口令攻击尤为常见。 即黑客通过已有的大量账号信息,快速批量验证能够访问目标Web资产的账号。这种攻击方式由于利用难度不大,且一旦获取到目标系统的弱口令,进入目标Web系统,可以扩大攻击者的攻击范围,被广为使用。 【学习资料】 常见Web弱口令攻击场景 一类是为了获取目标应用的访问权限,对账号(如Admin、Root等)的密码进.
Web安全】弱口令漏洞学习总结
fly_enum的博客
06-05 1365
弱口令也是安全漏洞的一种,是指系统登录口令的设置强度不高,容易被攻击者猜到或破解。造成弱口令的主要原因是系统的运维人员、管理人员安全意识不足。常见弱口令形式包括:系统出厂默认口令没有修改;密码设置过于简单,如口令长度不足,单一使用字母或数字;使用了生日、姓名、电话号码、身份证号码等比较容易被攻击者猜到的信息设置口令;设置的口令属于流行口令库中的流行口令。
web漏洞弱口令
热门推荐
qq_21193587的博客
06-04 4万+
弱口令 漏洞介绍 弱口令也是安全漏洞的一种,是指系统登录口令的设置强度不高,容易被攻击者猜到或 破解。造成弱口令的主要原因是系统的运维人员、管理人员安全意识不足。常见弱口令形 式包括:系统出厂默认口令没有修改;密码设置过于简单,如口令长度不足,单一使用字母 或数字;使用了生日、姓名、电话号码、身份证号码等比较容易被攻击者猜到的信息设置口 令;设置的口令属于流行口令库中的流行口令。 漏洞危害 绝大多数企业有一定用户数,对安全密码复杂对没有安全基准或落实不到位,都会存在弱密码,会看似符合密码复杂度要求的密码,
弱口令介绍及破解方式
weixin_56990703的博客
04-02 1万+
一、弱口令的定义 仅包含简单数字和字母的口令,例如“123”、“abc”等,因为这样的口令很容易被别人破解,从而使用户的计算机面临风险,因此不推荐用户使用。 二、弱口令的特点 1、连续字符串(如aaaa,abc等) 2、数字 数字通常会包含个人信息,如生日、身份证号的某几位。 3、字符串+数字;数字+字符串;重复数字或字符串的组合 三、安全口令的要求(有效防止弱口令) 1.不使用空口令或系统缺省的口令,因为这些口令众所周知,为典型的弱口令。 2.口令长度不小于8个字符。 3.口令不应该为
服务器弱口令漏洞修复策略
m0_63004677的博客
03-13 4706
服务器弱口令漏洞修复
WEB常见弱口令
weixin_30551963的博客
09-19 2054
Tomcat:默认端口8080,默认密码tomcat tomcat,后台地址IP:8080/manager/html Weblogic:默认端口7001,默认密码weblogic weblogic,后台地址IP:7001/console(http为7001,https为7002) Jboss:默认端口9990 JOnAS:默认端口9000后台:IP:9000/jonasAdmin/ ...
Web渗透测试-常见漏洞解析课件
03-23
此外,课程中还会涉及命令注入、弱口令、不安全的认证机制、敏感信息泄漏等其他常见漏洞,并介绍相应的预防和修复措施。同时,我们也会分享一些常用的渗透测试工具,如Burp Suite、Metasploit、OWASP ZAP等,以及...
Web应用安全开发规范-V2.0.doc
08-03
本规范详细涵盖了背景介绍、技术框架、使用对象、适用范围以及用词约定等多个方面,并着重讨论了常见Web安全漏洞Web设计的安全规范。 1. **概述** - **背景简介**:随着互联网的飞速发展,Web应用已经成为日常...
实验6_使用X-Scan进行系统漏洞弱口令的检测.docx
10-25
通过这个实验,学生能够深入理解系统安全的重要性,学习如何使用X-Scan进行系统安全检测,同时掌握如何处理和防止弱口令漏洞带来的潜在风险。这是一项实践性强、理论与实践相结合的网络安全教学活动,有助于提升...
超级弱口令检查工具V1.0
12-08
- **漏洞检查**:通过扫描和分析,找出系统中的安全漏洞,包括弱口令在内的可能导致攻击者入侵的薄弱环节。弱口令检查是其中的重要部分,因为使用弱口令的服务往往更容易成为黑客攻击的目标。 4. **安全最佳实践**...
webservice 密码弱口令漏洞病毒防御介绍
04-23
webservice 如果默认为弱口令,很可能被上传病毒文件,此文档较详细的介绍了病毒的特性和病毒的查杀和防御问题。
常见端口对应漏洞入侵方法
最新发布
06-19
本资源涵盖了一系列常见端口及其对应的潜在漏洞,包括针对21/69端口的FTP服务、22端口的SSH服务、80/443/8080的Web服务等多个重要端口的安全威胁。各类漏洞弱口令爆破、嗅探溢出、后门攻击、匿名访问等,均对网络...
企业弱口令治理方案
03-24 3600
弱口令问题一直是企业安全管理的痛点,一旦企业用户的账号密码泄露或被破解,将导致大量的内部信息泄露。假设一个场景:一家大型企业使用AD域架构实现用户账号管理。面对大量的域用户弱口令问题,如何通过技术手段来实现弱口令安全治理呢,这个就是我们今天探讨的话题。01、安全场景分析比较常见的用户密码登录场景如下:业务系统:门户、邮箱、OA等核心应用 网络接入:准入、VPN、虚拟桌面等...
1. Web安全—渗透测试用例—弱口令/空口令
weixin_43567873的博客
03-20 1107
1. Web安全—渗透测试用例—弱口令/空口令
web的基本漏洞--弱口令漏洞
尽欢的博客
05-30 5138
弱口令漏洞介绍
【精选】弱口令介绍及破解方式
xnxqwzy的博客
11-09 675
仅包含简单数字和字母的口令,例如“123”、“abc”等,因为这样的口令很容易被别人破解,从而使用户的计算机面临风险,因此不推荐用户使用。暴力破解,是一种针对于密码的破译方法,将密码进行逐个推算直到找出真正的密码为止。例如一个已知是四位并且全部由数字组成的密码,其可能共有10000种组合,因此最多尝试10000次就能找到正确的密码。而当遇到人为设置密码(非随机密码,人为设置密码有规律可循)的场景,则可以使用密码字典(例如彩虹表)查找高频密码,破解时间大大缩短。
web安全之弱口令漏洞学习总结
初岄的博客
01-27 8341
web安全之弱口令漏洞学习总结
WEB安全基础 - - -弱口令和暴力破解
weixin_67503304的博客
08-06 3415
简单介绍弱口令和暴力破解工具,总体对弱口令进行大体的简介,适合初学者入门。
HTTP_basic弱口令漏洞
07-28
HTTP_basic弱口令漏洞是指在使用HTTP基本认证进行身份验证时,用户账户的口令过于简单或容易猜测,从而导致攻击者能够轻易地破解口令,进而获取合法用户的权限。这种漏洞常见于一些Web应用程序或管理界面,如果攻击者能够成功猜测或暴力破解用户的口令,就能够非法访问和操作受保护的资源。 为了防止HTTP_basic弱口令漏洞的发生,我们可以采取以下措施: 1. 使用强密码策略:用户在设置密码时,应遵循一定的密码策略,包括密码长度、复杂性要求等,以确保密码足够强壮。 2. 使用多因素身份验证:除了密码外,引入其他因素(如手机验证码或硬件令牌)作为额外的身份验证措施,提高安全性。 3. 定期更改口令:用户应定期更改密码,避免长时间使用同一口令。 4. 实施账户锁定机制:当用户连续输入错误口令达到一定次数时,暂时锁定账户,防止暴力破解攻击。 5. 使用安全传输协议:使用HTTPS等安全传输协议,对传输过程进行加密,防止口令被拦截和篡改。 通过以上措施的综合应用,可以有效减少HTTP_basic弱口令漏洞的风险,提升系统的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值