认证授权--web弱口令爆破测试用例

已于 2023-11-02 09:27:05 修改
阅读量195 收藏
点赞数
分类专栏: # web安全性测试指南(全套) 文章标签: web漏洞挖掘
于 2023-11-02 09:19:11 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u014247926/article/details/134174638
版权

漏洞名称

弱口令测试

漏洞描述

检查中间件控制台、远程管理软件、数据库等第三方组件是否有弱口令,检查网站管理员、it技术人员、客服人员是否使用了弱口令作为账号的密码,以及是否存在默认密码的情况。

漏洞等级

高危

检测条件

1.网站用户,管理员登陆处

2.SSH,FTP,Mysql,RDP等端口开启且可爆破

检测方法

1.尝试使用常见密码如:123456,password,111111等尝试登陆。

2.使用默认口令进行登陆,如设备的初始密码,身份证后六位等尝试登陆;

尝试用burpsuite进行暴力破解:

修复方案

1.修改弱口令为强口令

2.限制用户最大登陆次数,超过一定次数禁止用户登录

3.限制可访问登录接口的用户IP

其他说明

黑盒测试弱口令只是一方面,还可以通过问询密码策略,白盒等方式进行判断

莫慌搞安全
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Web安全—渗透测试用例口令工具包
weixin_43567873的博客
03-20 122
Web安全—渗透测试用例
1. Web安全—渗透测试用例口令/空口令
weixin_43567873的博客
03-20 890
1. Web安全—渗透测试用例口令/空口令
Web渗透新手burp_suite使用抓包测试口令漏洞
weixin_56592642的博客
10-15 2677
首先下载burp_suite并打开他 这个工具还是比较好用的,我们点击Proxy
记一次web登录通杀渗透测试
Y525698136的博客
12-27 1666
在渗透测试过程中,碰见的web登录页面特别多,那么我们应该用什么样的思路去进行一个测试呢,下面看看我的一些测试师思路ba
web漏洞-口令暴力破解
rumil的博客
05-14 3007
口令漏洞没有严格和准确的定义,通常认为容易被别人(他们有可能对你很了解)猜测到或被破解工具破解的口令均为口令口令指的是仅包含简单数字和字母的口令,例如“123”、“abc”等,因为这样的口令很容易被别人破解,从而使用户的计算机面临风险。
web安全测试用例(网络资源笔记)
天在等我,菜鸟想飞
12-30 5524
信息泄漏 robots.txt泄漏敏感信息 **漏洞描述:**搜索引擎可以通过robots文件可以获知哪些页面可以爬取,哪些页面不可以爬取。Robots协议是网站国际互联网界通行的道德规范,其目的是保护网站数据和敏感信息、确保用户个人信息和隐私不被侵犯,如果robots.txt文件编辑的太过详细,反而会泄露网站的敏感目录或者文件,比如网站后台路径,从而得知其使用的系统类型,从而有针对性地进行利用。 测试方法: 检测形式多样,工具爬虫扫描得到敏感文件的路径,从而找到robots文件; 手工挖掘,直接在域名后输
4. Web安全—渗透测试用例—账户枚举/密码破解
weixin_43567873的博客
03-21 21
Web安全—渗透测试用例—账户枚举/密码破解
medusa测试网站口令简单示例
weixin_44153121的博客
08-05 902
Medusa(美杜莎)是一个速度快,支持大规模并行,模块化的爆力破解工具。可以同时对多个主机,用户或密码执行强力测试。 关于http模块的说明:The HTTP module tests accounts against HTTP/HTTPS services using BASIC-AUTH, integrated windows authentication (NTLM) and digest (MD5 and MD5-sess).
Hydra(九头蛇)口令
墨痕诉清风的博客
01-11 8996
一个非常快速的网络登录破解程序,支持许多不同的服务。查看功能集和服务覆盖页面-包括与ncrack和medusa的速度比较 当前版本:8.6最后更新2017-07-21(c)vanHauser/THC的2001-2017@thc.org;许多模块都是由David(dot)Maciejak @ gmail(dot)com编写的BFG代码由Jan Dlabal提供在AGPLv3下许可(见LICENSE文件)请不要在军事或秘密服务机构使用,或为非法目的。
安全测试-web安全-安全测试通用测试用例
04-05
需要做web安全测试人员,针对应用程序的安全,整理的通用安全测试用例,适用于bs和cs架构; 安全测试分类,安全漏洞理论知识; 实践手工及工具扫描,使用burpsuites及xray联动扫描; 帮助基础学习安全测试人员掌握...
测试用例-测试用例之akka.zip
06-16
测试用例 测试用例_测试用例之akka
自动化测试之-测试用例设计方法总结
01-27
本文来自博客园,本文主要介绍了黑盒、白盒、接口测试一系列用例设计方法,希望对您的学习有所帮助。黑盒测试用例设计方法包括等价类划分法、边界值分析法、错误推测法、因果图法、判定表驱动法、正交试验设计法、...
接口测试用例-金融银行类参考.xlsx
04-16
接口测试用例-金融银行类参考
2024年测风激光雷达行业分析报告.pptx
06-16
行业报告
mapreduce综合应用案例 - 招聘数据清洗.docx
06-16
招聘数据清洗是一个典型的大数据处理任务,可以通过MapReduce来实现高效且可扩展的数据清洗过程。下面是一个简单的招聘数据清洗的MapReduce应用案例: 输入数据准备:将招聘数据集划分为若干个块,每个块包含多条记录。 Map阶段: 每个Map任务负责处理一个数据块。 Map函数解析输入记录,提取关键字段,如职位名称、公司名称、薪资等。 对于每条记录,如果关键字段缺失或格式不正确,可以忽略或标记为错误数据。 输出中间键值对,其中键为职位名称,值为包含相关信息的自定义对象或字符串。 Reduce阶段: 所有Map任务的输出会根据职位名称进行分组。 Reduce函数对每个职位名称的数据进行处理,可以进行去重、合并、计数等操作。 根据需求,可以进一步筛选、过滤数据,如只保留特定行业或薪资范围的职位。 输出最终结果,可以保存为文件或存储到数据库中。 通过以上MapReduce应用,可以高效地清洗大规模的招聘数据,并提供结构化、准确的数据用于后续的分析和决策。此外,由于MapReduce具有良好的容错性和可扩展性,可以处理海量数据并在分布式环境中实现高性能的数据清洗任务。
Springboot+vue学生管理系统源码
06-16
Springboot+vue学生管理系统源码 idea导入后端项目,设置好依赖,运行SystemApplication.java 使用vscode或者hbuilderx等工具打开前端项目,运行即可 另外前端vue页打包成静态资源放到后端里面了,即便不运行前端vue项目也是可以的 如果需要修改,则使用npm run bulid重新打包,生成的前端代码,放到后端代码的resources的static目录下
学习数据结构和算法.zip
最新发布
06-16
大学生数据结构学习笔记和资料大全!
机器视觉课程概要及重点分析
06-16
适用于大学生的课程设计,报告等,包含图像处理等许多基础知识
手机测试用例-输入法测试用例
05-31
好的,针对手机输入法的测试用例,我为您列举一些常见的: 1. 输入法基本功能测试:测试输入法是否能正确输入字母、数字、标点符号等基本字符,并能够正常切换大小写、中英文模式等。 2. 拼音输入测试:测试输入法...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

莫慌搞安全

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值