阳江市政府机构行业某公司存在【基础设施弱口令】类型漏洞

一、漏洞定义:使用了默认的、常用的、过于简单的用户名,密码

二、常见破解方式:

1、通过管理入口检测功能,比对出登录地址

2、使用软件,对登录检测地址进行post穷举测试

三、可能造成的危害:

未设置验证码或验证次数,可直接进行爆破,从而导致大量企业信息泄露

四、示例:

口令top10:

123456789

a123456

123456

a123456789

1234567890

woaini1314

qq123456

abc123456

123456a

123456789a

五、安全建议:

1、不使用弱口令

2、通过技术手段杜绝暴力破解,如连续尝试登录次数限制、单次登录时间间隔、验证码、安全提示问题

3、对密码进行不可逆加密

4、针对管理人员,应强制其账号密码强度必须达到一定的级别;

5、建议密码长度不少于8位,且密码中至少包含数字、字母和符号;

6、不同网站应使用不同的密码,以免遭受“撞库攻击”;

7、避免使用生日,姓名等信息做密码,远离社工危害。

请高度重视网站安全工作,对网站进行全面检测、整改,有关整改情况及时反馈同级公安机关网安部门。

如需技术协助,请登录平台获取专业技术人员支持

指导单位
广东省公安厅网络警察总队 广东省信息安全等级保护协调小组办公室