本实验使用wordpress作为测试对象,使用模拟登陆和暴力猜解来获取wordpress管理员的登录密码。
其中cmd
代表脚本的名称,最终执行效果见文首。
本实验使用Python实现暴力猜解wordpress管理员登录表单的功能,并使用多线程、破解队列来优化破解过程。在实际应用中常常结合弱口令和用户个人信息组成的口令集合来进行猜解,一般会取得不错的结果。口令集合的选取很重要,可以说完全决定了破解的成败。但无论什么样的口令集合,最终的破解过程都是相同的。学有余力的同学可以尝试使用弱口令字典破解其他系统的默认账号密码(可百度弱口令字典
,此处不便列出),或者使用异步IO来优化破解性能:
“过去十年来,全球各大企业对安全的投入翻了不止十倍,各类安全公司皆不遗余力地开展研究和创新,为什么我们的网络世界依然疲于攻防应对?”第四届互联网安全领袖峰会(CSS 2018)主论坛上,腾讯云副总裁黎巍在主题发言中表示,超过80%的企业打造的是“城门大开,无人值守的安全长城”。
8月27日下午,腾讯云副总裁黎魏在CSS2018主论坛发表演讲。图自主办方。
据黎巍介绍,腾讯云在与企业客户的接触过程中发现,随意的弱密码、基本的系统漏洞不修补、对预警的安全风险视而不见等问题普遍存在。有企业花费数百万元购买各种安全设备,买回来后却将这些设备搁置一旁,连电源都没有接通。
“几乎每一家互联网企业都在安全方面投入巨大成本,但在企业安全意识不足、网安人才短缺、企业安全制度和规范不够完善的当下,几乎超过80%的企业打造的是‘城门大开,无人值守的安全长城’。” 黎巍说。
他同时指出,尽管新型攻击方式不断出现,DDoS攻击、SSH暴力破解等简单高效的传统攻击方式却仍在被广泛使用,甚至有愈演愈烈之势。以SSH暴力破解攻击手段为例,今年7月份,腾讯云为客户拦截的暴力破解超过3亿次。根据腾讯安全云鼎实验室的报告,攻击最常用弱密码前三名分别是admin、password、root, 占攻击次数的98.7%。
攻击者使用的SSH暴力破解攻击字典Top20。图自云鼎实验室报告。
在企业普遍存在安全短板、行业整体应对能力较弱的现状下,腾讯云正在围绕智慧安全与云管端协同防控两大领域展开探索。黎巍介绍,腾讯人工智能引擎已在金融反欺诈等领域取得明显成效,2017年1月至今,腾讯云天御反欺诈系统累计识别了4千万次恶意申请,避免了超过千亿的资金风险。
云管端协同防控,则是腾讯这两年一直在强调的安全理念。据了解,“云管端”的概念最早出现于2010年,云指业务,管指接入网,端则指终端。随着越来越多的企业依托公有云厂商开展业务,以公有云为目标的攻击呈明显上升趋势。黎巍认为,在安全边界模糊后,安全防御将不同于以往的单点防御,企业需要构造云管端的全链路防控,通过信息联动与异常行为关联发现更多隐蔽威胁。
采写:南都记者 冯群星
(原标题:腾讯云副总裁黎巍:企业当下仍普遍存在安全短板)