本节我们来探讨企业安全中常发生的内部系统弱口令问题,以及如何整治。
1弱口令会在什么地方发生
邮箱/OA, 这是最易发生弱口令的地方
SSL ,这是进入公司内部网络的重要入口
运营类系统 ,这类系统在我们公司非常多
工程效率 相关的平台,比如Redmine / Zabbix
企业使用的外部系统 ,如各应用市场/iOS开发者中心/微信开发平台/企业微博/域名服务/招聘网站/云服务系统等
2弱口令的危害
如果这些系统都在内网,那么即使存在弱口令,危害相对较低,但我们公司由于业务的属性,上述的系统大多对外开放,使用对象主要是内部员工。
这边主要讲下 邮箱和运营系统:
邮箱一旦有弱口令被攻破,里面的信息非常丰富:
如果你是财务人员,那有各种财务报表
如果你是HR,那就有员工的薪资资料,比如offer
如果你是运维人员,那你们公司服务器帐号密码就有了
所以邮箱是重要的入口,一旦被攻破,还能发生二次安全泄漏,比如一般人邮件都不删除的,会保留公司使用的外部系统的帐号密码,这样就又进入了其他系统。
还有 运营系统 ,里面一般有大量的公司用户资料/项目资料,一旦泄漏出去,危害巨大,所以也是重点关注对象。
3哪些弱口令会被攻破
从攻防角度来看,我们来看看哪些弱口令会被攻破,首先由于是内部系统,所以用户名很容易被枚举(如Top500中国姓名),主要的弱密码会有以下几种:
常见的若密码,如123456,123123,888888
公司相关的,比如abc123456
用户名相关的:比如zhangsan@2015
4弱口令整治之治标
首先要能检测到,我们的做法是把AD中帐号拉出来,写密码字典爆破,刚开始就爆破比如123456常见密码,后来就爆破公司相关/姓名相关。
接下来就是推动整改,一种做法是发邮件通知,必须于一定时间修改完,或者给管理员直接重置密码,并发消息告知本人。
5若口令整治之治本
以上只能治标,要想治本,需要解决两个问题:
统一登录入口,实现安全认证
统一密码重置入口和密码强度策略
基于以上,开发了统一认证平台,实现统一认证和登录,支持帐号密码+验证码、持钉钉认证或微信登录,即保障安全性,也提升了用户登录的便利(当然这个系统自身安全性要求很高,需要做好控制),如下:
这里要说明下,如果使用帐号密码登录,使用短信作为第二认证因子,以防爆破。
此外还将密码重置入口统一收归到这个平台,我们采用以下密码安全策略:
内部系统弱口令的整改是个漫长的过程,涉及老系统接入改造,前前后后经历了一年半时间才将这个问题彻底解决。
6小结
弱口令在很多企业是普遍存在的,如果这个问题不解决,很多安全措施其实是无力的,比如你做了防SQL注入,人家直接就登录你系统了,后果很严重。
对于弱口令,思路是 检测--->治标(修改或重置密码)--->建立机制(如统一认证平台) 。
欢迎大家关注“企业安全最佳实践”CVS被应用于流行的开放源码工程中,象Mozilla,GIMP,XEmacs,KDE,和GNOME等
NNTP(Network News Transport Protocol)是Internet上的一种协议,Usenet传输新闻使用此协议。
弱口令就是用户名和密码都是系统默认的,没有改。或者只是一些简单的数字组合很容易被黑客破解
又称向空密码,或者是1234567、abcdef、love这样的密码都可称为空密码。
IMAP它的主要作用是邮件客户端(例如MS Outlook Express)可以通过这种协议从邮件服务器上获取邮件的信息,下载邮件等。
当前的权威定义是RFC3501。IMAP协议运行在TCP/IP协议之上,使用的端口是143。自己不能够登录 FTP 服务器的原因有多种(例如:FTP 服务器口令保密功能即使配置得再完善、再天衣无缝,倘若自己忘记了用户名和密码,那么也是无法登录相应的 FTP 服务器的),这个和通过某种网络扫描软件到底是否能够扫描出某个网段上所有服务器的弱口令完全是两码事情。
因为作为一款功能强大的网络扫描软件,它是从计算机网络底层就开始进行监控(同时兼扫描)任何信息的(包括:用户名、密码、源 IP 地址及其服务端口、目的 IP 地址及其服务端口,等等)。
这就是为什么电视中经常报道的案件:明明用户名和密码、以及身份z号、yhk等任何物品都寸步不离开自己,但是当有朝一日用户需要进行网络交易时,却发现自己所有的钱款不翼而飞!!1433端口,是SQL
Server默认的端口
3389端口,是远程管理端口
天魔噬心
说的是错的不懂就别说
1433只有系统内装了SQL数据库才开放的端口,家庭用户就算装了SQL
SERVER也会开放1433端口的
而3389就算服务器上也能开远程管理的,就会产生这个端口
如果要是数据库远程管理服务的账户密码设置比较简单就形成了1433的弱口令
3389登陆的管理账户也就是系统的用户和密码设置简单了就形成了3389弱口令打开浏览器在地址栏输入19216811回车d出密码提示窗
2在密码提示窗输入用户名和密码(默认都为admin,如有出入在路由器下面应该已给出相应值)并按确定。此时d出设置向导并打开设置界面两张网页,设置向导可以关闭,接下来进入具体无线设置部分
3单击左面列表的“无线参数”进入“无线网络基本设置”页面
你就可以看到你家的密码啦!!!!如果此时你想改密码 你就继续设置哇…————
在右页面可以看见一些基本参数
SSID号可以填入自己喜欢的名字也可不作修改,修改目的是便于在无线设备设置时与别人的无线路由进行区分频段在周围有多个无线路由时修改(一般相对于别人路由频段+-3进行设置,不建议使用13频段,因为部分带wifi功能的手机或PDA无法识别该频段)
确定开启无线功能;开启安全设置已打钩(允许SSID广播建议初级玩家打勾,防止自己忘记路由器SSID号,造成不必要的麻烦),进行密码设置
一般家用网络安全类型选择"WEP",安全选项选择“自动选择”,
密钥格式选择:“ASCII码”(16进制较麻烦,很难记住密码)
在密匙1后面的密钥类型选择一个相应值(建议128位)
在密匙内容对应的框中填入自己的密码,注意字符个数不能多也不能少
选择64位密钥需输入16进制数字符10个,或者ASCII码字符5个。选择128位密钥需输入16进制数字符26个,或者ASCII码字符13个。选择152位密钥需输入16进制数字符32个,或者ASCII码字符16个。
5确定以上设置步骤完成按“保存”按钮,无线路由器部分设置到此结束。你家电脑还是服务器呢。。
如果仅仅是家里的电脑(WinXP)可能有:
135漏洞(administrator空口令可远程执行)
或者445(什么什么溢出,直接取cmdshell)
Win7的话有可能是软件问题。比如
1433弱口令,3306弱口令,TomCat弱口令,Radmin弱口令
这些WinXP下也同样是可能的。
再者如果你家电脑是服务器的话,也有可能是上述问题。
你可以把你现在的账户加上密码。
检查MSSQL,Mysql,Tomcat,Radmin是否是弱口令,如果是的话就加上强度更大的密码。
最后杀毒,修补漏洞。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)