首先需要声明,本文纯属一个毫无远见和真才实学的小小开发人员的愚昧见解,仅供用于web系统安全方面的参考。
1、 简单说明
一些应用程序根据某种顺序自动生成帐户名,当然,现在邮箱、手机、QQ号码成为用户名的可能性越来越高,攻击者们也越来越省事了;
一些应用程序在大批量创建用户之后,并自动指定初始密码,然后通过某种方式(邮件、短信)将密码分配给用户。
2、 常见的可预测用户名和密码的漏洞
用户名和密码都能够预测了,理所当然的,这里的漏洞就很大的。
可预测的初始化密码,让攻击者能够预测其他应用程序用户的密码,基于内网的企业应用程序经常存在这种漏洞。
如果所有用户都收到相同的密码,或者根据用户名和职务、ID、手机号码等创建的密码,这种密码非常容易被攻破。
比这个更加糟糕的是,很多人有了初始密码之后,几乎不做修改,就一直使用;如果初始密码过于复杂,很多人会从一个极端走向另外一个极端,使用尽可能的简易密码。
3、 常用的攻击策略
如果密码是应用程序生成,设法获得几个尽可能连续的密码,看看是否存在顺序或者模式;
如果存在顺序或者模式,依旧这种方法进行推断,其他系统用户的密码;
如果密码呈现一种可能和用户名有关的联系,那么直接去推测其他用户名和密码;
如果没有能够发现的顺序或者模式,那么这一些系列的用户名和密码,是作为蛮力破解的基础。
时间: 2024-10-14 04:04:42