首先需要声明,本文纯属一个毫无远见和真才实学的小小开发人员的愚昧见解,仅供用于web系统安全方面的参考。
攻城的时候,城门总是最容易被攻破的地方。
如果一个WEB系统不够安全,往往是从登陆上面就出现了问题。
许许多多的web应用没有或者很少对用户密码的强度进行控制,这样的话,很容易被人在这里找到漏洞;
非常短甚至空白的密码;
密码和用户名完全相同;
初始的默认密码;
用常用词汇拼音、英语等作为密码;
比如:
123
123456
网站名称
qwert (仔细看键盘)
11111
admin
qaz123
…
1、 首先查明和密码强度有关的规则;
2、 如果是公开的web站点,查找描述密码和用户名相关的内容;
3、 如果能够进行自注册,用一写脆弱密码注册不同账户,看应用程序实际上采取了什么样的规则;
4、 如果自己有密码,把密码修改为各种保密性不强的密码试试看。
5、 对于普通的应用来说,保护大多数人就足够了,如果有人自己想办法把强密码修改成为弱密码,那是他自己的事情。正所谓“no zuo,no die”
原文地址:http://blog.csdn.net/ffm83/article/details/44119983
