安全运营:弱口令,企业安全的坟墓
- - Seay's blog 网络安全博客 从今年起一直在关注企业安全,包括一些运维安全、开发安全以及企业安全运营,这会是我以后的方向. 我一直回避“黑客”这个词,也从来不把这两个字说到自己身上,虽然现在的工作很大一部分是授权入侵各种大小企业,尝试拿到最敏感的数据,我入侵过无数大大小小的企业内网,甚至一些巨型上市企业,可以把渗透做的非常细.
安全运营:弱口令,企业安全的坟墓
标签:
安全维护
科普专线
企业安全
| 发表时间:2014-04-17 02:41 | 作者:seay
出处:http://www.cnseay.com
从今年起一直在关注企业安全,包括一些运维安全、开发安全以及企业安全运营,这会是我以后的方向。我一直回避“黑客”这个词,也从来不把这两个字说到自己身上,虽然现在的工作很大一部分是授权入侵各种大小企业,尝试拿到最敏感的数据,我入侵过无数大大小小的企业内网,甚至一些巨型上市企业,可以把渗透做的非常细。但是我对自己的评价一直都是安全工程师。在安全领域,无非就是攻和防,有的人擅长防,有的人擅长攻,而我自认为属于攻的一类,像攻的这类人,很难在一家正规企业取得很大的成就,而往往擅长防的一类人,就可以在企业中混上安全经理或者CTO,有权力能推动企业安全发展。这就是为什么我今年转方向的原因,运营好一家企业的安全,这是我一定要做的一件事,说不定哪天就离开安全宝去甲方公司带技术团队了。
安全宝有一个非常火的服务产品叫“渗透测试”,目前这个服务团队是我负责,今年为数家大型企业提供过这个服务,平均周期在一周多一点,渗透成功率达到90%,也就是说给一家企业,我们能有90%的概率能够入侵进去,每一个渗透测试报告我都会过一遍,发现其中90%多的企业都存在弱口令问题,甚至有的对外安全做的非常不错,就是因为一个不起眼的小系统的弱口令导致整家企业内网沦陷。
一直想写一个关于弱口令的文章,这是我在做渗透测试过程中感触最深的一个东西。
就在昨天,我通过一个密码123456进入到一个小系统,并收集信息沦陷了一家还算大的土豪电商企业内网,整个过程只花了一个下午,这是我们公司的一个授权渗透测试项目,然后几千块的奖金就成功到手,这只是其中一个,我手上还有大把大把的真实案例。我曾经专门整理过大量的高质量弱口令字典,并且每次渗透都会用得到。
弱口令有很多种,下面简单做一下分类,给大家参考下,以后就不要设置这样的密码了。
一、常用简单数字、字母
这类中最典型的一个密码就是123456,在收集到目标系统的用户名列表后,用这个密码进行爆破屡试不爽。因为这串数字最好记,而且在很多IT课堂上,很多老师直接命令学生把数据库等密码设置为123456,我在重庆读书的时候对这个深有体会,这是从最开始就养成的坏习惯。当然除了123456之外还有很多,简单列一下
123456
654321
111
123
123123
abc
admin
admin123
admin888
sa
root
NULL
….
篇幅有限,举例即可。
二、个人信息:生日、名字拼音缩写、ID、QQ、手机
这一类属于个人信息拼接的密码,很多人为了密码好记,就会把“名字拼音缩写+生日”当成自己的常用密码,甚至有很多直接用手机号、QQ号作为密码。对于这种,只要对目标这个人进行一点简单的信息收集即可。
举例:马云以前的密码可能就是下面其中一个
mayun1234
mayun19641015
my19641015
19641015
三、域名、中文或英文名称或加数字、字母、IP尾数字
这类也是非常常见的一种,很多企业员工会把一些数据库、FTP、甚至ssh密码设置成自己公司的域名前缀或者公司中文名称拼音等,比如百度的员工可能会把密码设置成“baidu”,因为百度的域名和中文拼音都是这个,那这个密码的出现概率就更高了。还有很多有趣的密码像“baidu123”、“baidu2014”,IP为10.0.0.39的ssh密码为“baidu39”或者更复杂点,但是有规律,这一种也非常常见。建议在渗透测试过程中多整理这样的密码进行测试,往往都会有惊喜哦。
一本好的字典,在渗透测试过程中极为重要,如果你也设置了上面我说的密码,建议还是赶紧改改吧,说不定哪天就是我给你公司做的渗透测试。
| 博主猜你喜欢: | ||||
 运用动态安全域保护企业网的方法 |
安全维护:服务器安全配置php open_basedir设置以及关于其安全问题 |
VPS常用详细安全配置 |
服务器简单配置安全狗防CC攻击 |
80安全-WEB服务器安全防护浅淡 |
| 无觅 | ||||
相关 [安全 口令 企业] 推荐:
渗透测试:我的企业安全经验之账号安全
- - Seay's blog 网络安全博客安全管理要想真正做好真不容易,主要是看高层和业务方的支持. 我专门针对密码安全这块做过一些研究,也根据自己的一些经验,最终是产出了一些密码和用户名字典,有手写了上千个,也有根据自己写的词根来生成一些,当然只是普性字典,还有一个专门针对的企业员工信息安全的大数据平台(大杀器)正在研发,我们要把经验做成自动化来玩.
对企业而言Mac安全性低于Windows
- Aaron Woo - Solidot在Black Hat大会上,研究人员指出苹果电脑的DHX认证方法存在安全漏洞,可以在数分钟内入侵局域网中的其它苹果Mac电脑. 安全公司iSec的CTO Alex Stamos表示,Mac电脑对个人使用来说是足够安全,但当和其他电脑联在局域网内后,它的安全性就降低了.
企业禁止BYOPC的主要原因是安全风险
- - cnBeta.COM根据一项调查显示,出于安全方面的考虑,86%的公司禁止员工使用自己的电脑(BYOPC)进行工作. 为了解决这些担忧,1E推出了其新的MyWorkNow解决方案,即客户托管的虚拟桌面(CHVD),让员工以快速,低成本的方式使用自己的电脑进行工作. 虚拟桌面运行在本地主机上,并通过企业的选择桌面管理架构进行配置,比如微软的系统中心配置管理器(SCCM),MyWorkNow无需额外的硬件和中央基础设施.
从 Google 白皮书看企业安全最佳实践
- - IT瘾-dev前不久Google发布了一份安全方面的白皮书. Google Infrastructure Security Design Overview,直译的版本可以参考“网路冷眼”这版《 Google基础设施安全设计概述》,直译+点评的版本可以参考“职业欠钱”的《 Google基础设施安全设计概述翻译和导读》.
互联网企业数据安全体系建设
- - 美团点评技术团队Facebook数据泄露事件一度成为互联网行业的焦点,几百亿美元市值瞬间蒸发,这个代价足以在地球上养活一支绝对庞大的安全团队,甚至可以直接收购几家规模比较大的安全公司了. 虽然媒体上发表了很多谴责的言论,但实事求是地讲,Facebook面临是一个业界难题,任何一家千亿美元的互联网公司面对这种问题,可能都没有太大的抵抗力,仅仅是因为全球区域的法律和国情不同,暂时不被顶上舆论的浪尖罢了.
企业安全建设与态势感知
- - FreeBuf互联网安全新媒体平台*全文为萧观澜本人工作经验总结,FreeBuf仅做整理,无任何修饰或故事化,原味呈现最真实的企业安全人心声. 萧观澜,现任华为终端云服务principal engineer,负责华为终端云服务全线业务的网络安全. 安全在今天越来越受重视,各类企事业单位也不断加大安全投入,很多度过了安全建设初级阶段(被动防御)的安全团队开始做态势感知.
企业安全公共能力开源化实现参考
- - IT瘾-dev通过开源项目实现企业安全,需要从办公域、业务域的安全需求开发,注重业务生命周期的研发、集成运维阶段的安全预防、检测、处置技术公共能力建设,通过管理运营平台,覆盖企业的信息化安全需求,具备攻击能力,实现以攻为守,通过sorceforge、github最近3年内比较活跃的评价较高的项目梳理,形成本文,供参考.
企业 2013 年最高的 10 个信息安全威胁是哪些?
- - 知乎每日精选以下是我认为如今威胁企业信息安全的威胁所在,以及排序和对应的描述:. A1-引用不安全的第三方应用. 第三方开源应用、组件、库、框架和其他软件模块;. 过去几年中,安全领域在如何处理漏洞的评估方面取得了长足的进步,几乎每一个业务系统都越来越多地使用了第三方应用,从而导致系统被入侵的威胁也随之增加. 由于第三方应用平行部署在业务系统之上,如果一个易受攻击的第三方应用被利用,这种攻击将导致严重的数据失窃或系统沦陷.
五大危害企业的移动端威胁与安全防御措施
- - FreeBuf.COM | 关注黑客与极客如今大多企业员工几乎每天都需要用到移动端的某些应用来完成相关工作,但是一旦恶意攻击者盯上了你手机上的某个应用,那么设备遭受攻击所带来的影响可能就是连锁式的. 一、五大危害企业的移动端威胁. Lookout产品总监David Richardson和他的团队研究总结出五大移动端恶意软件家族,冒充真正的企业应用,引诱员工下载恶意软件.