入侵感知系列之弱口令检测思路

最新推荐文章于 2024-03-16 10:09:16 发布
最新推荐文章于 2024-03-16 10:09:16 发布
阅读量549 收藏
点赞数
文章标签: 运维
原文链接:http://www.cnblogs.com/baihualin/p/10414709.html
版权

弱口令检测

 

背景:

在安全方面弱口令问题算是技术含量最低的安全隐患了。但往往技术含量越低,被利用频率也越高,而且造成的影响还不见得小。所以治理弱口令将成为安全体系建设中性价比最高的一个环节。但是就是这样一个性价比高的环节想完全杜绝却不是那么容易,未来的系统可以通过注册申请环节强制设置强密码,但是针对过去的老旧系统弱口令问题就令人头疼了。

 

目的:

通过多种维度组成多种方案来帮助管理员尽可能多的发现网内存在弱口令的系统

 

注意:

1、弱口令问题只需关注运维账号及管理后台,业务账号暂不关注。

2、多种方案可叠加使用,方案与方案之间无互斥关系,多种方案混合使用可提高检测率。如是多种方案叠加使用的话需对结果进行去重处理。

 

思路1(暴力检测):

这是最传统的一种发现方式,其准确率也最高。但对系统有一定攻击性,故不推荐使用。

1、罗列所有管理后台URL

2、准备常用用户名密码字典

3、暴力破解

 

思路2(嗅探关键字):

此方法为被动检测方式,故不会对业务造成影响,但由于密码变量名没有统一规范,故漏报率可能会有些大。

1、准备常见弱口令字典(视情况选择较小的字典)

2、在集中管理平台以及SSLvpn的出口处镜像流量,抓取其中可能为密码的变量(passwordpasswd)的值。

 

 

 

3、将提取到的值与弱密码逻辑做匹配

 

 

 

转载于:https://www.cnblogs.com/baihualin/p/10414709.html

weixin_30786617
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
超级弱口令检查工具(附带弱口令字典)
07-22
超级弱口令检查工具(附带弱口令字典)
常用的被动扫描工具Xray
mashiro_hibiki的博客
03-07 1062
由长亭科技所开发的漏洞检测工具,所支持检测的漏洞类型有:XSS漏洞检测、SQL 注入检测、命令/代码注入检测支持 shell 命令注入、PHP 代码执行、模板注入等、目录枚举dirscan检测备份文件、临时文件、debug 页面、配置文件等10余类敏感路径和文件路径穿越检测、外部实体注入检测xxe、支持有回显和反连平台检测poc等
Linux系统弱口令检测和网络端口扫描
weixin_53496421的博客
02-22 2889
文章标题系统弱口令检测操作步骤 系统弱口令检测 Joth the Ripper,简称JR 一款开源的密码分析工具,支持字典式的暴力破解 通过对shadow文件的口令分析,可以检测密码强度 官方网站:http://www.openwall.com/john/ 操作步骤 cd /opt tar zxvf john-1.9.0.tar.gz #解压工具包 yum -y install gcc gcc-c++ make
弱口令扫描工具有哪些?检测的主要方法及常用弱口令密码
白帽黑客鹏哥的博客
12-11 5301
弱口令工具主要用于密码破解、安全评估和网络防御测试。这些工具通过尝试一系列常用的弱口令检测系统或账户的安全性。
弱口令漏洞
xv7777666的博客
04-24 694
举例来说,如果有两个Payload标志位置,第一个Payload值为A和B,第二个Payload值为C和D,则发起攻击时,将共发起四次攻击,第一次使用的Payload分别为A和C,第二次使用的Payload分别为A和D,第三次使用的Payload分别为B和C,第四次使用的Payload分别为B和D。——它使用一组Payload集合,依次替换Payload位置上(一次攻击只能使用一个Payload位置)被§标志的文本(而没有被§标志的文本将不受影响),对服务器端进行请求,通常用于测试请求参数是否存在漏洞。
DAY17:弱口令的探测与测试
qq_49433473的博客
07-29 2554
弱口令探测与测试,整合python脚本破解
弱口令检测、端口扫描
看清所以看轻
08-29 5571
John the Ripper和NMAP,前者用来检测系统账号的密码强度,后者用来执行端口扫描任务。 在Internet环境中,过于简单的口令是服务器面临的最大风险。尽管大家都知道设置一个更 长.更复杂的口令会更加安全,但总是会有一些用户因贪图方便而采用简单、易记的口令字串。对于任何一个承担着安全责任的管理员,及时找出这些弱口令账号是非常必要的,这样便于采取进一步的安全措施(如提醒用户重设更安全的...
后台弱口令检测工具
04-16
后台弱口令检测工具
超级弱口令检测工具.rar
08-04
by shack2
国外windows 弱口令检测工具
12-07
国外windows 弱口令检测工具,xTSCrack is a simple RDP Audit tool for Penentration Tester find weak passwords over RDP protocol. xTSCrack support Windows 2000, XP, 2003 and 2008 Terminal Service.
windows弱口令check工具和方法
03-12
windows系统的弱口令检查工具和方法。引用“彩虹table”暴力猜解windows系统弱口令。对于用户设置的简单密码可以短时间破译。
mysql弱口令检查方法
11-05
一个简单的mysql弱口令检查脚本,希望能对给位有所帮助
phpmyadmin弱口令检测工具
01-19
注:仅供学习使用,不能用于非法用途,大家可以根据需要下载。
弱口令总结和爆破工具
dzqxwzoe的博客
03-11 1400
网站管理、运营人员由于安全意识不足,为了方便、避免忘记密码等,使用了非常容易记住的密码,或者是直接采用了系统的默认密码等。攻击者利用此漏洞可直接进入应用系统或者管理系统,从而进行系统、网页、数据的篡改与删除,非法获取系统、用户的数据,甚至可能导致服务器沦陷。弱口令(weak password) 没有严格和准确的定义,通常认为容易被别人(他们有可能对你很了解)猜测到或被破解工具破解的口令均为弱口令
Kali系统学习:弱点扫描工具NMAP实战演示
weixin_55772224的博客
08-25 5416
有关Nmap实战的保姆级演示(内含ExploitDB和searchsploit漏洞查找工具)可以帮助大家快速上手Nmap实战
如何检测用户是否存在弱口令的现象?
热门推荐
JackTian
07-25 1万+
如何检测用户是否存在弱口令的现象? 在现互联网环境下,工作中避免不了会考虑服务器的安全问题,那么对于简单的口令来说,则是服务器所面临的最大风险。即便大家都会有这方面的安全意识,设置一个符合长度且复杂性的口令会更加安全,但总是会有一些用户因贪图方便而采用简单且易记的口令。 那么对于任何一个承担着安全责任的管理员来说,通过某种手段来更高效的找出那些弱口令用户是非常重要的,就是今天我所推荐的弱口令检测工...
Linux操作系统中弱口令检测、端口扫描
vecloud的博客
07-05 1999
一、弱口令检测——John the Ripper 1、下载并安装John the Ripper 2、检测弱口令账号 3、使用密码字典文件 二、网络扫描——NMAP 1、安装NMAP软件包 2、扫描语法及类型 3、扫描操作示例: 一、弱口令检测——John the RipperJohn the Ripper是一款开源的密码破解工具,能够在已知密文的情况下快速分析出明文的密码字串,支持DES、MD5等多种加密算法,而且允许使用密码字典(包含各种密码组合的列表文件)来进行第三方破解。通过使用John the Ri
Linux系统登录弱口令扫描检测
yyh_linux_note的博客
03-15 1329
提升安全规范意识及正确使用检测方法提高自己的服务器安全性
弱口令(Weak Password)总结和爆破工具
最新发布
Innocence_0的博客
03-16 1045
网站管理、运营人员由于安全意识不足,为了方便、避免忘记密码等,使用了非常容易记住的密码,或者是直接采用了系统的默认密码等。攻击者利用此漏洞可直接进入应用系统或者管理系统,从而进行系统、网页、数据的篡改与删除,非法获取系统、用户的数据,甚至可能导致服务器沦陷。弱口令(weak password)没有严格和准确的定义,通常认为容易被别人(他们有可能对你很了解)猜测到或被破解工具破解的口令均为弱口令
rdp弱口令检测脚本
08-09
弱口令检测脚本的工作方式通常如下:首先,脚本需要有一个包含常见弱口令列表的字典文件。其次,脚本会尝试使用字典中的每个口令进行登录,通过尝试登录,脚本可以快速识别出存在弱口令的账户。最后,脚本会输出一个...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值