操作建议:
1.本项工作非常重要!实际攻防中,通过弱口令获得权限的情况占据80%以上;
2.高风险系统(互联网暴露面资产、DMZ区系统、互联网接入设备、目标系统等),应要求在系统管理员本阶段更改一次口令,此口令应为之前未用过的新的复杂口令(避免撞库、共享同一口令被爆破)(如果可以,要求所有终端);
3.管理员在不同服务器上的用户口令不能为同一个口令,也不宜有明显的规律;
4.WEB应用应启用登录验证码或多因素认证:
5.操作系统、应用、网络设备、安全设备应启用复杂口令策略及登录次数锁定;
6.目标系统、暴露面重要系统应登录系统查看(或要求导出帐号配置文件),查看是否存在测试帐号和无用帐号,并对有效帐号做口令爆破测试:
7.排查范围:应基于资产梳理的结果进行。优先级参考:互联网暴露而资产>DMZ区资产>目标系统>集权系统>敏感系统(含邮件)>其他系统>WIFI>终端; 目标包括系统、数据库、中间件、登录后台、网络设备、VPN等;端口包括数据库、tomcat、weblogic、RDP、Telnet等;
8.操作建议:
a.按防守范围做全网爆破;对大量的常规系统或终端,可用小字典对常用端口做快速爆破;对重要系统及暴露面系统,应用大字典或定制字典做深度爆破;
b.应根据客户单位的情况(如单位名称+年份、运维或开发常用口令、历史弱口令、用户名+数字、工号、同类业务系统、我司或友商设备常用口令)定制口令字典:
c.爆破应覆盖常见高危端口(参见RAP重要端口);
d.操作流程:确定IP范围》确定服务对应用户名列表>确定密码字典列表>端口范围扫描+服务识别>进行爆破>结果输出和整改;
e.爆破应控制并发线程不要太高,以免丢包或漏报;
9.建议工具:超级弱口令、Hydra、TSS、口令生成工具、WIFI爆破工具、RAP、SIP;字典可包括中国人名、TOP100、TOP1000用户名口令等,课程PMS知识库或护网工具下载。
10.本项工作应上传交付物附件!
个人理解:应尽量符合密码复杂性的要求,然后不同的网站使用不同的密码,尽量避免"TOP1000用户名口令,默认用户名密码”因为这些都可能从互联网获取,通过暴力破解、撞库等方法被攻破。
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2022-7-18 21:44
工程师3级 
