2017年8月5日星期六 10:43 PM
許多軟體介面在安裝之後會提供預設管理員帳戶與密碼,以我所遇過的包括TP-Link的管理頁面、MSSQL或MySQL的內建管理帳號,這些帳號都有容易被猜測的密碼,同時帳號本身通常預設是管理員Base,所以帳號本身也很容易被猜測到。
所以若今天所測試的軟體/Web 介面是預設或內建管理帳號的話,則必須要經過一整串常見帳密的測試來確保內建的預設管理員帳號密碼不容易被猜測到,因為這些帳號一般具有管理權限,因此若太容易被猜測到,對於軟體安全來說是很嚴重的漏洞。
另一方面,同樣的技巧亦可用於測試一般軟體/Web介面以猜測是否有使用者創建帳密時也是用這些簡單易被猜測的帳密來建立帳戶,這可透過"強密碼策略"來避免過於簡單的密碼被猜中,也就是強制使用者密碼格式必需符合一定規則,並且必需定時或適時強迫替換,同時不可以與將被更換的密碼過於相似或以帳號名或生日當密碼。
以下列出常見的預設管理帳號與可能密碼,若認為這些帳密仍有所不足,依然可以透過上網或任何軟體說明手冊去查找更多的可能內建管理員常見帳密,這樣可以增加更多的軟體管理安全性,不至於讓駭客太容易以這些安全性有疑慮的常見帳密入侵系統。
常見帳號: admin . administrator . root . system . guest . qa . test . test1 . testing . sa . operator . super . 軟件公司名稱 …
[註: 有些Web軟體可能並未清除QA測試的帳號,因此也可以試看看有測試意涵的關鍵字當帳號。]
常見內建密碼: 空密碼 . 軟件公司名稱 . password . password123 . 1111. 123456 . admin . guest . pass123 . 使用者帳號 …
另外,用戶Email往往也透露出使用者的帳號命名習慣,例如Jon Snow 的Email : JSnow@thron.com 這代表Jon可能用JSnow來創建個人帳戶,所以從使用者一般生活上的常見命名習慣或外號軌跡也可以試圖找出可能有效帳號,試圖盡量找出這些易被猜測的帳號名稱並防止被使用,是軟體安全管理的第一道防線。
留言列表