前不久筆者應(yīng)邀到某公司做網(wǎng)絡(luò)滲透，這家公司的網(wǎng)絡(luò)是由windows2003服務(wù)器和XP系統(tǒng)搭建的小型Active Directory，其中一臺(tái)服務(wù)器連接著內(nèi)網(wǎng)數(shù)據(jù)庫(kù)，所有服務(wù)器都開(kāi)放了遠(yuǎn)程終端。經(jīng)過(guò)滲透測(cè)試，筆者發(fā)現(xiàn)了一些很嚴(yán)重的常見(jiàn)安全性問(wèn)題，其中最值得一提的就是密碼安全管理問(wèn)題。 　　在測(cè)試WEB的時(shí)候，出現(xiàn)了SQL注入漏洞，也由此進(jìn)一步獲得了連接數(shù)據(jù)庫(kù)的密碼。然而數(shù)據(jù)庫(kù)的機(jī)器可能故意放在DMZ區(qū)，所以不能上網(wǎng)。筆者在WEB網(wǎng)站中查找到了WEB管理員的密碼，卻發(fā)現(xiàn)和剛才獲得的連接數(shù)據(jù)庫(kù)密碼明顯有相同之處。WEB 管理員的密碼是web@123456(123456代表的是朋友公司的名字)，而連接數(shù)據(jù)庫(kù)的密碼是sql@123456。發(fā)現(xiàn)了這一點(diǎn)共同之處后，根據(jù)經(jīng)驗(yàn)，筆者抱著僥幸的心理直接登陸終端輸入密碼webserver@123456，竟然成功了。就這樣獲得了WEB服務(wù)器的管理員權(quán)限。在之后的滲透過(guò)程中，筆者測(cè)試mail服務(wù)器的時(shí)候直接輸入mailserver@123456，竟然也成功了。有了這樣一個(gè)“公式”，接下來(lái)的測(cè)試就輕松多了，把服務(wù)器根據(jù)情況把密碼重新組合，就這樣把余下的服務(wù)器直接被輕松拿下。最后在其中一臺(tái)服務(wù)器筆者還意外的“獲得”了一個(gè)記錄所有服務(wù)器的密碼的XSL文檔，這個(gè)XLS文檔密碼還包括了域名的密碼。 　　筆者以往的經(jīng)驗(yàn)表明，其實(shí)這樣的情況非常普遍，假如讀者是一位網(wǎng)管，可以回想一下，在讀者所處的企業(yè)或所管理的服務(wù)器有沒(méi)有這樣的類似問(wèn)題。但是正是因?yàn)檫@種密碼的缺陷，給企業(yè)服務(wù)器或者內(nèi)網(wǎng)帶來(lái)災(zāi)難。 　　密碼的安全一直以來(lái)都是一個(gè)難題。其實(shí)，針對(duì)這種情況，每個(gè)企業(yè)都可以更有效地管理自己的密碼。以下是筆者就密碼管理給朋友公司的管理員提出的建議，也給廣大的網(wǎng)管朋友提個(gè)醒： 　　一、 所有的服務(wù)器必須設(shè)置安全復(fù)雜的密碼 　　二、 定期更改密碼 　　主要是防止那些不慎落入黑客手中老密碼再次被利用。 　　三、 新密碼必須脫胎換骨，和舊密碼毫無(wú)關(guān)聯(lián) 　　更改密碼時(shí)，切忌直接從老密碼變換而來(lái)，尤其是那種只改變一個(gè)字母的做法。當(dāng)管理員更改密碼時(shí)，應(yīng)該假設(shè)當(dāng)前密碼已經(jīng)被人破解。類似webserver1@123456、web1@123456、mailserver1@123456這樣的密碼更改，要猜出來(lái)簡(jiǎn)直是太容易了。 　　四、 不使用常見(jiàn)單詞和弱密碼 　　比如password、qwer1234等，這類密碼是絕對(duì)不能使用的。 　　五、 使用無(wú)規(guī)律可循的密碼 　　就像在這次的測(cè)試中，筆者就是遵循著朋友公司的密碼的規(guī)律，進(jìn)入服務(wù)器的。所以產(chǎn)生密碼的時(shí)候，不能使用有規(guī)律可循的密碼。 　　六、 記錄密碼檔的文檔必須加密。 　　以下是微軟官方提供的《確定與密碼策略相關(guān)的設(shè)置》 　　• “強(qiáng)制密碼歷史”確定互不相同的新密碼的個(gè)數(shù)，在重新使用舊密碼之前，用戶必須使用過(guò)這么多的密碼。此設(shè)置值可介于 0 和 24 之間;如果該值設(shè)置為 0，則強(qiáng)制密碼歷史被禁用。對(duì)多數(shù)組織而言，將該值設(shè)置為 24 個(gè)密碼。 　　• “密碼最長(zhǎng)使用期限”確定在要求用戶更改密碼之前用戶可以使用該密碼的天數(shù)。其值介于 0 和 999 之間;如果該值設(shè)置為 0，則密碼從不過(guò)期。將值設(shè)得太低，則可能給用戶帶來(lái)不便;設(shè)得太高或者禁用，則為潛在攻擊者提供更多時(shí)間來(lái)破解密碼。對(duì)多數(shù)組織而言，將該值設(shè)置為 42 天。 　　• “密碼最短使用期限”確定用戶可以更改新密碼之前這些新密碼必須保留的天數(shù)。此設(shè)置被設(shè)計(jì)為與“強(qiáng)制密碼歷史”設(shè)置一起使用，這樣用戶就不能很快地重置有次數(shù)要求的密碼并更改回舊密碼。該設(shè)置值可以介于 0 和 999 之間;如果設(shè)置為 0，用戶可以立即更改新密碼。建議將該值設(shè)為 2 天。 　　• “密碼長(zhǎng)度最小值”確定密碼最少可以有多少個(gè)字符。盡管 Windows 2000、Windows XP 和 Windows Server 2003 最多可支持 127 個(gè)字符的密碼，但是該設(shè)置值只能介于 0 和 14 個(gè)字符之間。如果設(shè)置為 0，則允許用戶使用空白密碼，因此您不應(yīng)使用 0 值。建議將該值設(shè)置為 8 個(gè)字符。 　　• “密碼必須符合復(fù)雜性要求”確定是否加強(qiáng)密碼的復(fù)雜性。如果啟用該設(shè)置，則用戶密碼符合以下要求： 　　• 密碼長(zhǎng)度至少有 6 個(gè)字符。 　　• 密碼至少包含以下 5 類字符中的 3 類字符： 　　• 英語(yǔ)大寫(xiě)字母 (A - Z) 　　• 英語(yǔ)小寫(xiě)字母 (a - z) 　　• 10 個(gè)基數(shù)數(shù)字 (0 - 9) 　　• 非字母數(shù)字(例如：!、$、# 或 %) 　　• Unicode 字符 　　• 密碼不得包含三個(gè)或三個(gè)以上來(lái)自用戶帳戶名中的字符。 　　如果帳戶名長(zhǎng)度少于 3 個(gè)字符，此檢查便不會(huì)被執(zhí)行，因?yàn)槊艽a被拒絕的可能性相當(dāng)高。檢查用戶全名時(shí)，有幾個(gè)字符被看作分隔符，分隔符將名稱分隔成單獨(dú)的標(biāo)記，這些分隔符為：逗號(hào)、句點(diǎn)、短劃線/連字符、下劃線、空格、磅字符和制表符。對(duì)于每個(gè)標(biāo)記，如果長(zhǎng)度有 3 個(gè)或以上的字符，則在密碼中搜索該標(biāo)記;如果存在該標(biāo)記，則拒絕更改密碼。例如，姓名“Erin M. Hagens”將拆分為三個(gè)標(biāo)記：“Erin”、“M”和“Hagens”。由于第二個(gè)標(biāo)記的長(zhǎng)度只有一個(gè)字符，從而被忽略。因此，該用戶密碼中任何位置都不能包含“erin”或“hagens”子字符串。所有這些檢查都區(qū)分大小寫(xiě)形式。

最新評(píng)論