精华内容
下载资源
问答
  • 弱口令

    2019-10-05 01:19:08
    弱口令(weak password)没有严格准确的定义,通常认为是容易被别人猜测到或破解工具破解的口令。 弱口令指的是仅包含简单数字和字母的口令,例如“123”、“abc”等,因为这样的口令很容易被别人破解, 从而使...

    弱口令(weak password)没有严格准确的定义,通常认为是容易被别人猜测到或破解工具破解的口令。

    弱口令指的是仅包含简单数字和字母的口令,例如“123”、“abc”等,因为这样的口令很容易被别人破解,

    从而使用户的计算机面临风险,因此不推荐用户使用。

    转载于:https://www.cnblogs.com/dingyanxin/p/4458253.html

    展开全文
  • 各种弱口令字典各种弱口令字典各种弱口令字典各种弱口令字典各种弱口令字典各种弱口令字典各种弱口令字典
  • 【web漏洞】弱口令

    万次阅读 2021-06-04 00:26:49
    弱口令 漏洞介绍 弱口令也是安全漏洞的一种,是指系统登录口令的设置强度不高,容易被攻击者猜到或 破解。造成弱口令的主要原因是系统的运维人员、管理人员安全意识不足。常见的弱口令形 式包括:系统出厂默认口令...

    弱口令

    漏洞介绍

    弱口令也是安全漏洞的一种,是指系统登录口令的设置强度不高,容易被攻击者猜到或
    破解。造成弱口令的主要原因是系统的运维人员、管理人员安全意识不足。常见的弱口令形
    式包括:系统出厂默认口令没有修改;密码设置过于简单,如口令长度不足,单一使用字母
    或数字;使用了生日、姓名、电话号码、身份证号码等比较容易被攻击者猜到的信息设置口
    令;设置的口令属于流行口令库中的流行口令。

    漏洞危害

    绝大多数企业有一定用户数,对安全密码复杂对没有安全基准或落实不到位,都会存在弱密码,会看似符合密码复杂度要求的密码,其实是是弱密码如 P@ssw0rd qwer!@#$ 等,暴力破解和弱密码最终都是导致用户身份认证失效 系统可能是基于角色或用户做授权的。

    1. 破解成功后即可获取合法用户的权限,从而能够查看用户的敏感信息,还有可以进行钓鱼等操作
    2. 甚至可以破解管理员的密码从而能够拿到管理员的权限,通过查找网站是否还有其它危害较大的漏洞,进而控制整个站点
    3. 批量获取用户账号密码,对网站以及用户造成较大威胁,进入网站后,有多种攻击手法,具体问题具体分析
    4. 可以重置或者修改用户的账号密码等信息
    • 比如暴力破解用户邮箱,可以拉取到通信录,通过历史邮件发现更多信息。

    漏洞原理

    网站没有对登录接口实施防暴力破解的措施,或者实施了不合理的措施,如不安全的验证码,或者使用 token 防御暴力

    理论上来说,大多数系统都是可以被暴力破解的,只要攻击者有足够强大的计算能力和时间,所以断定一个系统是否存在暴力破解漏洞,其条件也不是绝对的。 我们说一个 web 应用系统存在暴力破解漏洞,一般是指该 web 应用系统没有采用或者采用了比较弱的认证安全策略,导致其被暴力破解的“可能性”变的比较高。 这里的认证安全策略, 包括:

      1. 是否要求用户设置复杂的密码;
      1. 是否每次认证都使用安全的验证码(想想你买火车票时输的验证码~)或者手机 otp;
      1. 是否对尝试登录的行为进行判断和限制(如:连续 5 次错误登录,进行账号锁定或 IP 地址锁定等);
      1. 是否采用了双因素认证;
    • …等等。

    漏洞复现

    防护方法

    防御的主要思路是 加入人机识别或多因素认证。对频率做限制,失败多少次,锁帐号,或封 IP

    • 多因素认证 (影响用户体验,重要的系统可以采用)
    • 验证码 (主流,有时也会影响用户体验)小站用户至上可以
    • 频率做限制 (失败多少次,锁帐号,或封 IP (有绕过的风险,但攻击者成本很高,也是可行的防御方法)
    • 安全加固及监控 或 IPS
    • token 有时可以防御些重放类的暴力破解,还能有防御 CSRF 的效果。python 的爬虫库可以抓取到到 token burpsuit 也可以配置从响应中提取 token 有一定初级的防御效果但不做为主要。
    • 不明确返回用户帐号是否存在,或者密码错误等。用户 ID 和用户昵称最好分开。
    • 禁常见的弱密码.设置密码定期修改策略.

    应用场景

    POC

    总结

    参考引用

    [[弱密码.md]]

    密码长度范围为8到26位。
    密码至少包含以下4种字符中的3种:
    大写字母
    小写字母
    数字
    Windows操作系统云服务器特殊字符:包括“$”、“!”、“@”、“%”、“-”、“_”、“=”、“+”、“[”、“]”、“:”、“.”、“/”、“,”和“?”
    Linux操作系统特云服务器特殊字符:包括“!”、“@”、“%”、“-”、“_”、“=”、“+”、“[”、“]”、“:”、“.”、“/”、“^”、“,”、“{”、“}”和“?”
    密码不能包含用户名或用户名的逆序。
    Windows操作系统的云服务器,不能包含用户名中超过两个连续字符的部分。
    
    展开全文
  • 弱口令字典

    2018-12-06 21:10:18
    弱口令字典,很全很强大,如果需要弱口令的散列值,请关注本人的其他资源。谢谢。
  • 超级弱口令检查工具。包含TOP1000弱口令密码字典。亲测可用。有问题请留言。
  • 弱口令大集合,从top100,1000到top100000的密码,以及常见的从3位起到10位的弱口令,还有姓名拼音等多个弱口令字典,各种撞库等,数字
  • 1433弱口令急速扫描器1433弱口令急速扫描器
  • 2021最全弱口令常用口令大集合
  • 前个10000常用弱密码弱口令
  • 弱口令获取远程服务器随心¥邪神VIP1433弱口令扫描
  • 2020最新的弱口令大集合,从top100,1000到top100000的密码,以及常见的从3位起到10位的弱口令,还有姓名拼音等多个弱口令字典,各种撞库等,数字亲测好用,大家快来下载吧,挺不错的一个资源哦!!
  • 常用弱口令集合

    2018-09-08 19:55:46
    啊哈。弱口令大集合,从top100,1000到top100000的密码,以及常见的从3位起到10位的弱口令,还有姓名拼音等多个弱口令字典,各种撞库等,数字。
  • 常用100000弱口令

    2020-01-18 17:14:35
    常用100000弱口令,亲测可用
  • 经典弱口令

    2018-02-24 19:11:45
    经典弱口令是什么?来搜这个的我想应该很清楚了,比如什么 8888888 12345678 19991324 等等
  • 弱口令总结(什么是弱口令

    千次阅读 2021-02-24 17:31:16
    空口令 口令长度小于8 口令不应该为连续的某个字符(QQQQQQ) ... 口令纯数字(例:112312324234, 电话号) ... 近年来弱口令top字典集合(例:每年都会推出top100) 服务/设备默认出厂口令 (例:ht
    1. 空口令
    2. 口令长度小于8
    3. 口令不应该为连续的某个字符(QQQQQQ)
    4. 账号密码相同(例:root:root)
    5. 口令与账号相反(例: root:toor)
    6. 口令纯数字(例:112312324234, 电话号)
    7. 口令纯字母(例:asdjfhask)
    8. 口令已数字代替字母(例:hello word, hell0 w0rd)
    9. 口令采用连续性组合(例:123456,abcdef,654321,fedcba)
    10. 近年来弱口令top字典集合(例:每年都会推出top100)
    11. 服务/设备默认出厂口令

    (例:https://mohen.blog.csdn.net/article/details/109741376

    1. 口令设置包含个人生日、账号、名字等敏感信息

    (例:www.xiaomimi.com,root:xiaomi, root:mixiao,root:wwwxiaomicom, root:comxiaomiwww, root: 19980101)

    展开全文
  • 180M弱口令字典

    2018-10-04 20:01:42
    弱口令字典180M,有各种类型的弱口令,后台弱口令,常用密码,ftp,3389,后台路径等等
  • top100弱口令

    2018-01-13 18:01:58
    top100的弱口令集,再测试弱口令时可以使用,需要的可以来下载,
  • 弱口令扫描工具

    2021-01-07 16:58:55
    弱口令扫描工具
  • 弱口令.txt

    2019-09-16 10:37:59
    burp爆破常见弱口令,适用于日常爆破,还是很不错的。
  • 弱口令字典.zip

    2019-08-19 14:32:17
    弱口令字典,多种类型:后台弱口令,常用密码,ftp,3389,后台路径等等
  • phpmyadmin弱口令BP工具

    2021-01-19 16:59:41
    phpmyadmin弱口令BP工具,高效快速。
  • 工具目前支持SSH、RDP、SMB、MySQL、SQLServer、Oracle、FTP、MongoDB、Memcached、PostgreSQL、Telnet、SMTP、SMTP_SSL、POP3、POP3_SSL、IMAP、IMAP_SSL、SVN、VNC、Redis等服务的弱口令检查工作。 工具特点: 1....
  • 内网弱口令扫描工具

    2019-09-26 11:37:10
    内网弱口令扫描工具
  • 常见弱口令字典.rar

    2021-01-27 09:12:03
    通常认为容易被别人(他们有可能对你很了解)猜测到或被破解工具破解的口令均为弱口令弱口令指的是仅包含简单数字和字母的口令

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 20,574
精华内容 8,229
关键字:

弱口令