0x01 漏洞描述

Weak Password

0x01 漏洞描述

网站管理、运营人员由于安全意识不足，为了方便、避免忘记密码等，使用了非常容易记住的密码，或者是直接采用了系统的默认密码等。

0x02 常见应用场景

弱口令没有严格的标准和准确的定义，通常认为容易被别人猜测到或被破解工具破解的口令均为弱口令。

通常以下情况会被定为弱口令：

连续的数字

连续的字母

连续的（数字+字母）

公司（全称or简称）+连续的（字母or数字）

个人姓名（全称or简称）+连续的（字母or数字）

网站域名+连续的（字母or数字）

任意（上+下 or 左+右 or shift）连续的键盘密码

包含上述情况任意位置的特殊字符

包含上述情况任意位置的年份的数字

包含上述情况任意位置的首字母大写

包含上述情况任意位置的常见单词

。。。

0x03 漏洞危害

攻击者利用此漏洞可直接进入应用系统或者管理系统，从而进行系统、网页、数据的篡改与删除，非法获取系统、用户的数据，甚至可能导致服务器沦陷。

0x04 修复建议

4.1 用户层面

不要使用常见的弱口令作为密码

不要多个系统或者社交账号使用同一套密码

定期修改密码

建议使用包含随机值的或者随机生成的字符串作为系统密码

4.2 系统层面

用户首次登录后强制用户修改默认密码

修改密码、添加账号等涉及密码策略处强制用户使用强密码策略（大小写字母+数字+特殊字符+8位以上）

服务端对登录处增加图形验证码并保证使用一次即销毁

服务端对登录接口进行限制，单个IP单位时间内请求超过阈值，封禁30分钟

服务端对登录接口进行限制，单个用户密码单位时间内错误次数超过阈值，封禁20分钟