漏洞名称 | 弱口令测试 |
漏洞描述 | 检查中间件控制台、远程管理软件、数据库等第三方组件是否有弱口令,检查网站管理员、it技术人员、客服人员是否使用了弱口令作为账号的密码,以及是否存在默认密码的情况。 |
漏洞等级 | 高危 |
检测条件 | 1.网站用户,管理员登陆处 2.SSH,FTP,Mysql,RDP等端口开启且可爆破 |
检测方法 | 1.尝试使用常见密码如:123456,password,111111等尝试登陆。 2.使用默认口令进行登陆,如设备的初始密码,身份证后六位等尝试登陆; 尝试用burpsuite进行暴力破解: |
修复方案 | 1.修改弱口令为强口令 2.限制用户最大登陆次数,超过一定次数禁止用户登录 3.限制可访问登录接口的用户IP |
其他说明 | 黑盒测试弱口令只是一方面,还可以通过问询密码策略,白盒等方式进行判断 |
认证授权--web弱口令爆破测试用例
于 2023-11-02 09:19:11 首次发布