微信公众平台:电子计算机与网络信息安全
ID:Computer-network
密文是未加密的信息内容,明文密码当然便是未加密的密码信息内容,而明文密码传输、明文密码储存、密码弱加密及密码存储在攻击者能浏览的资料等都能够当作明文密码系统漏洞。
明文密码传输指在我们在平台上键入账号与密码并点击登陆时,用Burp Suite提取登陆数据。有时会发觉键入的登陆密码在传输的过程中选用的是明文密码传输,并没有开展一切加密或是选用的是相近Base64等弱编码方法(轻松就可以破译,等同于未加密)。若应用HTTPS加密传输,则可以处理这个问题。
明文密码储存指站点的数据库查询里边储存的使用者的密码一般是选用MD5或是别的更繁杂的加密方法加密以后的保密,但有一些平台的数据库查询里边储存的则是密文。若攻击者攻占了此类数据库查询,就可以轻松获得账号与密码,对后面的洗库及撞库等给予准确度很高的数据信息基本。
密码弱加密方法例如以上的Base64弱编号或是维吉尼亚密码等。
密码储存一般由运维管理工作人员或是网络服务器管理者承担,她们管理方法的账号与密码的总量是十分巨大的,而这种账号、密码都常常会被应用到。因而,她们一般就将这种账号、密码储存在一个文本文档中,一目了然。若这一文本文档未开展强加密解决而又放到了能被攻击者浏览的地区,例如存有系统漏洞的网络服务器、随身带的U盘及个人笔记本电脑等,那麼一旦攻击者根据技术性进到以上账号、密码的储存文档中,客户的账号、密码就泄漏了。账号、密码泄露的严重后果会如何?公司及自身的商业秘密将直露,最后危害公司及自身的权益。
例1:某站后台管理管理办存有明文密码传输。在系统登录界面键入账号admin与密码123456,点击登陆,如下图1所显示。
图1 系统登录界面
攻击者应用Burp Suite提取登陆要求数据,如下图2所显示。
图2 提取登陆要求数据
由图2由此可见,账号与密码未加密传输,这里存有明文密码传输。
例2:某站后台管理数据库查询中存有明文密码储存,攻击者应用SQL句子select * from forum_user,数据库查询中forum_user表的所有纪录,能够看见,forum_user表中的密码字段名password的纪录并没有开展MD5加密或是别的强加密,如下图3所显示。
图3 明文密码储存