安全运营:弱口令,企业安全的坟墓 |

  • A+
所属分类:Seay信息安全博客

显示不全请点击全屏阅读

   从今年起一直在关注企业安全,包括一些运维安全、开发安全以及企业安全运营,这会是我以后的方向。我一直回避“黑客”这个词,也从来不把这两个字说到自己身上,虽然现在的工作很大一部分是授权入侵各种大小企业,尝试拿到最敏感的数据,我入侵过无数大大小小的企业内网,甚至一些巨型上市企业,可以把渗透做的非常细。但是我对自己的评价一直都是安全工程师。在安全领域,无非就是攻和防,有的人擅长防,有的人擅长攻,而我自认为属于攻的一类,像攻的这类人,很难在一家正规企业取得很大的成就,而往往擅长防的一类人,就可以在企业中混上安全经理或者CTO,有权力能推动企业安全发展。这就是为什么我今年转方向的原因,运营好一家企业的安全,这是我一定要做的一件事,说不定哪天就离开安全宝去甲方公司带技术团队了。

  安全宝有一个非常火的服务产品叫“渗透测试”,目前这个服务团队是我负责,今年为数家大型企业提供过这个服务,平均周期在一周多一点,渗透成功率达到90%,也就是说给一家企业,我们能有90%的概率能够入侵进去,每一个渗透测试报告我都会过一遍,发现其中90%多的企业都存在弱口令问题,甚至有的对外安全做的非常不错,就是因为一个不起眼的小系统的弱口令导致整家企业内网沦陷。

   一直想写一个关于弱口令的文章,这是我在做渗透测试过程中感触最深的一个东西。

   就在昨天,我通过一个密码123456进入到一个小系统,并收集信息沦陷了一家还算大的土豪电商企业内网,整个过程只花了一个下午,这是我们公司的一个授权渗透测试项目,然后几千块的奖金就成功到手,这只是其中一个,我手上还有大把大把的真实案例。我曾经专门整理过大量的高质量弱口令字典,并且每次渗透都会用得到。

  弱口令有很多种,下面简单做一下分类,给大家参考下,以后就不要设置这样的密码了。

  一、常用简单数字、字母
   这类中最典型的一个密码就是123456,在收集到目标系统的用户名列表后,用这个密码进行爆破屡试不爽。因为这串数字最好记,而且在很多IT课堂上,很多老师直接命令学生把数据库等密码设置为123456,我在重庆读书的时候对这个深有体会,这是从最开始就养成的坏习惯。当然除了123456之外还有很多,简单列一下

123456
654321
111
123
123123
abc
admin
admin123
admin888
sa
root
NULL
….

篇幅有限,举例即可。

  二、个人信息:生日、名字拼音缩写、ID、QQ、手机
    这一类属于个人信息拼接的密码,很多人为了密码好记,就会把“名字拼音缩写+生日”当成自己的常用密码,甚至有很多直接用手机号、QQ号作为密码。对于这种,只要对目标这个人进行一点简单的信息收集即可。
举例:马云以前的密码可能就是下面其中一个
mayun1234
mayun19641015
my19641015
19641015

  三、域名、中文或英文名称或加数字、字母、IP尾数字
    这类也是非常常见的一种,很多企业员工会把一些数据库、FTP、甚至ssh密码设置成自己公司的域名前缀或者公司中文名称拼音等,比如百度的员工可能会把密码设置成“baidu”,因为百度的域名和中文拼音都是这个,那这个密码的出现概率就更高了。还有很多有趣的密码像“baidu123”、“baidu2014”,IP为10.0.0.39的ssh密码为“baidu39”或者更复杂点,但是有规律,这一种也非常常见。建议在渗透测试过程中多整理这样的密码进行测试,往往都会有惊喜哦。

一本好的字典,在渗透测试过程中极为重要,如果你也设置了上面我说的密码,建议还是赶紧改改吧,说不定哪天就是我给你公司做的渗透测试。

Tags:

企业安全,

如果您喜欢我的博客,欢迎点击图片定订阅到邮箱填写您的邮件地址,订阅我们的精彩内容: 也可以点击链接【订阅到鲜果】

如果我的想法或工具帮助到了你,也可微信扫下方二维码打赏本人一杯咖啡
安全运营:弱口令,企业安全的坟墓 |