我被渗透攻击了

我被渗透攻击了

人在家中坐，锅从天上来

本来明天是周末

今天我还在安静的敲着代码

想着晚上和女朋友去哪里吃饭

结果甲方一个紧急催命电话就打过来了

“我们被攻击了”

厚厚的一份报告

收到一份攻击渗透报告

里面描述了系统的诸多漏洞

看看目录上的一个个“高危”

感觉系统不堪一击啊

仔细看看内容：

1.目录浏览漏洞

访问时居然会列出目录

一查，是minio的锅

默认启动时 list dir 是打开的

这个必须关闭

2.Tomcat版本缺陷

这个没的说

升级吧

把所有的版本升到最高

3.暴力破解

系统内存在大量的弱口令

急需解决

我赶紧问问实施组的小飞

原来，初始化密码

居然都是 Abc123

震惊了啊

这年头还有这样设置密码的？

让我教教你，什么是合理的密码复杂度

什么是密码复杂度

密码等级分为 弱 中 强

每次注册的时候

都会提醒我们

一个典型的强密码格式如下：

    Abc@135%

它必须满足以下几个要求

1. 8位以上
2. 含大小写字母
3. 包含数字
4. 包含特殊符号

与之相悖的就是弱密码

用的最多的，就是数字、生日、单词、拼音等

比如 123456，888888，helloworld 等等

正常人都喜欢弱密码

因为好记啊

殊不知有多少人

每次看到输入密码就在思考哲学

好像是123456啊

诶不对

那试试888888

诶还不对

再试试 @#￥￥#%……@￥%

---10分钟后---

算了还是找回密码吧

所以，我们需要在强密码和记忆方面找一个平衡

典型弱密码

网上有很多典型弱密码的攻击字典

这里列举一些

123456
111111
123456789
123123
aqwe518951
000000
5201314
123321
qweqwe
zxcvbnm
123456abc
12345678
1234
ww789456
zxczxc
7758521
666666
zzzzzz
1234567
888888
a123456
qqqqqq
aaaaaa

应该有中枪的同学了

这种形同虚设的密码不要也罢

甚至包括一些设备、系统厂商

也都使用了弱的默认密码

比如路由器默认密码：

全向  admin / qxcomm1688 
TP-LINK admin / admin
合勤    1234 
Ecom    root
神州数码  ADSL / ADSL1234 
华为Smart   admin / admin
伊泰克  supervisor / 12345 
华硕    adsl / adsl1234 
阿尔卡特    没有密码
大唐    admin / 1234 
中兴    adsl / adsl831

大家买到数码设备记得长个心眼

第一时间改掉

典型强密码

那么，怎么设置一个强密码

这里有个标准清单

3HIDC!!#
xyidc_2006
3H8IDC72sanhe000
sanhe000~!@#
!QAZ2wsx
!QAZxsw2
123qweASD
1qaz!QAZ
1qaz@WSX
3edc$RFV
P@ssw0rd
Password1
QWErty123
Qwerty12345
www.7x24.cn

请注意，这些格式仅供参考

但不推荐使用

我们吸取里面的一些思想就好

比如，可以采取变体字形式

像是0和o互换，1和i或l互换

比如

He110 最后的3个字母是数字一一零

还可以写网址的格式

比如 www.hao123.com 这就是一个非常优秀的强密码

其他方式大家可以自己创新

想一个自己记得住的强密码

修改密码

对于关键领域

比如服务器、数据库等

密码建议定期修改

一般推荐90天

系统的登录密码最好也能定期修改

因为技术在日益更新

数字时代

密码就是生命线