投递文章投递文章 投稿指南 RSS订阅RSS订阅

利用弱口令 翻看某电商网购数据

来源:未知 IT堂 发布时间:2016-10-28 收藏 投稿 字体:【

安全预警

        每天都有新的安全威胁产生,每天都有电脑遭受攻击,每天我们都收到很多安全求助信。我们将从这些求助信息中挑选出具有代表性的进行深入的分析和讨论,给出具有通用性质的解决方案。

 

        对许多中小电商来说发展不易,没有那么多精力和金钱考虑网络安全问题,于是一些低级漏洞也可以找到。最近,某电商就曝出存在弱口令漏洞,黑客远程登录后就可以敏感的网购数据。

 

技术分析

        白帽子 路人甲:一个朋友准备加盟某主打社区的电商,想拉我入股。对这个事情不太感冒,勉为其难的看了看,在该电商官网中看到用户订单还是不少,然后决定测试一下网站的安全性,这一测试不要紧还真的发现严重安全问题——客户服务平台(http://1**.2**.1**.2**)纯在弱口令漏洞。

   弱口令指的是仅包含简单数字和字母的口令,例如123456abcdefgadmin、admin123等,因为这样的口令很容易被别人破解,从而使电脑面临风险。最经典的管理员弱口令是用户名admin、密码admin,因为这是不少建站程序或者论坛默认的管理员账户和密码,如果不修改就流下了安全隐患。

        在http://1**.2**.1**.2**中输入用户名admin、密码admin登录不成功,就密码改为admin123登录就成功了,这也说明管理员太图省事了。之后就可以看到网站加盟商店的订单数据,店主名称、账户余额、每单发到哪个社区、买了什么商品等。好在这个系统还有一定安全防范措施,无法看到买家的数据。利用这些数据可以电线诈骗卖家哟!例如伪装成电商的工作人员,分分钟可以取得信任哟!然后就是常见套路忽悠了。

 

   那如何避免出现弱口令呢?1.不使用空口令或系统缺省的口令,因为这些口令众所周之,为典型的弱口令;2.口令长度不小于8个字符;3.口令不应该为连续的某个字符(例如:AAAAAAAA)或重复某些字符的组合(例如:tzf.tzf.);4.口令应该为以下四类字符的组合,大写字母(A-Z)、小写字母(a-z)、数字(0-9)和特殊字符,每类字符至少包含一个,如果某类字符只包含一个那么该字符不应为首字符或尾字符;5.口令中不应包含本人、父母、子女和配偶的姓名和出生日期、纪念日期、登录名、E-mail地址等等与本人有关的信息,以及字典中的单词。

顶一下
(0)
0%
踩一下
(0)
0%
本文Tags:
与《利用弱口令 翻看某电商网购数据》相关的文章有:
  • 表情:
  •    
  • 评价:
用户名: 密码: 匿名 注册
最新评论 查看所有评论
About iTtang - 联系我们  - 专题列表 - 友情链接  -  高级搜索  -  帮助中心  -  您的意见