日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問(wèn)題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷解決方案
Web安全:明文密碼漏洞

微信公眾號(hào):計(jì)算機(jī)與網(wǎng)絡(luò)安全

ID:Computer-network

明文是未加密的信息,明文密碼自然就是未加密的密碼信息,而明文密碼傳輸、明文密碼存儲(chǔ)、密碼弱加密及密碼存儲(chǔ)在攻擊者能訪問(wèn)的文件等都可以看作明文密碼漏洞。

明文密碼傳輸指當(dāng)我們?cè)诰W(wǎng)站上輸入賬號(hào)與密碼并單擊登錄時(shí),用Burp Suite截取登錄數(shù)據(jù)包。有時(shí)候會(huì)發(fā)現(xiàn)輸入的登錄密碼在傳輸?shù)臅r(shí)候采用的是明文密碼傳輸,并未進(jìn)行任何加密或者采用的是類似Base64等弱編碼方式(輕輕松松即可破解,相當(dāng)于未加密)。若使用HTTPS加密傳輸,則可以解決這個(gè)問(wèn)題。

明文密碼存儲(chǔ)指網(wǎng)站的數(shù)據(jù)庫(kù)里面存儲(chǔ)的用戶的密碼一般是采用MD5或者其他更復(fù)雜的加密方式加密之后的密文,但有一些網(wǎng)站的數(shù)據(jù)庫(kù)里面存儲(chǔ)的卻是明文。若攻擊者攻陷了該類數(shù)據(jù)庫(kù),就可以輕輕松松獲取賬號(hào)與密碼,對(duì)后續(xù)的洗庫(kù)及撞庫(kù)等提供準(zhǔn)確率很高的數(shù)據(jù)基礎(chǔ)。

密碼弱加密方式例如上述的Base64弱編碼或者維吉尼亞密碼等。

密碼存儲(chǔ)一般由運(yùn)維人員或者服務(wù)器管理人員負(fù)責(zé),他們管理的賬號(hào)與密碼的數(shù)量是非常龐大的,而這些賬號(hào)、密碼都經(jīng)常會(huì)被使用到。因此,他們一般就將這些賬號(hào)、密碼保存在一個(gè)文本文件中,一目了然。若這個(gè)文本文件未進(jìn)行強(qiáng)加密處理而又放在了能被攻擊者訪問(wèn)的地方,例如存在漏洞的服務(wù)器、隨身攜帶的U盤及私人筆記本等,那么一旦攻擊者通過(guò)技術(shù)進(jìn)入上述賬號(hào)、密碼的存儲(chǔ)文件中,用戶的賬號(hào)、密碼就泄露了。賬號(hào)、密碼泄露的后果會(huì)怎樣?企業(yè)及個(gè)人的機(jī)密將暴露無(wú)遺,最終損害企業(yè)及個(gè)人的利益。

例1:某站后臺(tái)管理處存在明文密碼傳輸。在系統(tǒng)登錄界面輸入賬號(hào)admin與密碼123456,單擊登錄,如圖1所示。

圖1 系統(tǒng)登錄界面

攻擊者使用Burp Suite截取登錄請(qǐng)求數(shù)據(jù)包,如圖2所示。

圖2 截取登錄請(qǐng)求數(shù)據(jù)包

由圖2可見,賬號(hào)與密碼未加密傳輸,此處存在明文密碼傳輸。

例2:某站后臺(tái)數(shù)據(jù)庫(kù)中存在明文密碼存儲(chǔ),攻擊者使用SQL語(yǔ)句select * from forum_user,查詢數(shù)據(jù)庫(kù)中forum_user表的全部記錄,可以看到,forum_user表中的密碼字段password的記錄并未進(jìn)行MD5加密或者其他強(qiáng)加密,如圖3所示。

圖3 明文密碼存儲(chǔ)


本文名稱:Web安全:明文密碼漏洞
網(wǎng)頁(yè)鏈接:http://www.dlmjj.cn/article/ccsscpj.html