溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
這篇文章給大家介紹如何分析Web安全中的明文密碼漏洞,內容非常詳細,感興趣的小伙伴們可以參考借鑒,希望對大家能有所幫助。
明文是未加密的信息,明文密碼自然就是未加密的密碼信息,而明文密碼傳輸、明文密碼存儲、密碼弱加密及密碼存儲在攻擊者能訪問的文件等都可以看作明文密碼漏洞。
明文密碼傳輸指當我們在網站上輸入賬號與密碼并單擊登錄時,用Burp Suite截取登錄數據包。有時候會發現輸入的登錄密碼在傳輸的時候采用的是明文密碼傳輸,并未進行任何加密或者采用的是類似Base64等弱編碼方式(輕輕松松即可破解,相當于未加密)。若使用HTTPS加密傳輸,則可以解決這個問題。
明文密碼存儲指網站的數據庫里面存儲的用戶的密碼一般是采用MD5或者其他更復雜的加密方式加密之后的密文,但有一些網站的數據庫里面存儲的卻是明文。若攻擊者攻陷了該類數據庫,就可以輕輕松松獲取賬號與密碼,對后續的洗庫及撞庫等提供準確率很高的數據基礎。
密碼弱加密方式例如上述的Base64弱編碼或者維吉尼亞密碼等。
密碼存儲一般由運維人員或者服務器管理人員負責,他們管理的賬號與密碼的數量是非常龐大的,而這些賬號、密碼都經常會被使用到。因此,他們一般就將這些賬號、密碼保存在一個文本文件中,一目了然。若這個文本文件未進行強加密處理而又放在了能被攻擊者訪問的地方,例如存在漏洞的服務器、隨身攜帶的U盤及私人筆記本等,那么一旦攻擊者通過技術進入上述賬號、密碼的存儲文件中,用戶的賬號、密碼就泄露了。賬號、密碼泄露的后果會怎樣?企業及個人的機密將暴露無遺,最終損害企業及個人的利益。
例1:某站后臺管理處存在明文密碼傳輸。在系統登錄界面輸入賬號admin與密碼123456,單擊登錄,
攻擊者使用Burp Suite截取登錄請求數據包,如圖所示。
圖 截取登錄請求數據包
由圖2可見,賬號與密碼未加密傳輸,此處存在明文密碼傳輸。
例2:某站后臺數據庫中存在明文密碼存儲,攻擊者使用SQL語句select * from forum_user,查詢數據庫中forum_user表的全部記錄,可以看到,forum_user表中的密碼字段password的記錄并未進行MD5加密或者其他強加密。
關于如何分析Web安全中的明文密碼漏洞就分享到這里了,希望以上內容可以對大家有一定的幫助,可以學到更多知識。如果覺得文章不錯,可以把它分享出去讓更多的人看到。
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
