JavaWeb网络安全-弱口令自查

1.背景

项目中，创建用户没有校验密码强度，弱口令会导致一系列安全问题。然而用户表数据加密加盐，我们无法直接知道哪些用户使用了弱口令。
网络安全的首要步骤是检查系统中的弱口令。一旦网络攻击者获取了我们的弱口令并成功登录系统，他们几乎可以完全掌控系统。考虑到我们的系统涉及许多组件和依赖关系，一旦其中某个组件存在问题，整个服务器就有可能受到黑客攻击，甚至面临被彻底暴露的风险。因此，第二个重要步骤是关注漏洞，查看哪些组件(特别是权限、登录相关的组件)存在漏洞，并及时更新组件版本。通过更新组件版本，我们实际上能够预防很多可能的安全风险。

2.解决办法（1）Burp_Suite

Burp_Suite 是专业的网络安全领域工具，但使用需要一定的使用基础。可以使用Burp_Suite，进行校验。基本教程

3.解决办法（2）python测试脚本

使用简单，功能单一，可以应付快速测试。
以下是我们用于测试弱口令的脚本，其中包括约2万个需要测试的用户和100个弱口令。在最差情况下，时间复杂度为O(n^2)。这100个弱口令按照出现频次排序，常用密码排在前面。经过实际测试，我们系统总共花费了6个小时的时间。此外，在具备服务器性能冗余的情况下，我们可以采用多线程的方式进行同步测试，从而大大缩短测试时间。

import requests

# 替换为你user表中的account
username_list = ['admin', 'zhangsan',...'LISI']

# 存储了 100个最常用的弱口令密码
passwords = [ '111111', '123456', '123456789', 'a123456', 'a123456789', '12345', '111111', '123123', 'woaini1314', 'zxcvbnm', 'qq123456', 'password', 'abc123456', '123456a', '123456789a', 'abc123', '0', 'iloveyou', '1234567890', '1234', '1234567', '12345678910', '12345678', '5201314', '98754321', 'qwerty', '123456abc', 'princess', '147258369', '1111', 'qq123456789', 'q123456', 'woaini123', '5201314520', '1004', 'zxcvbnm123', 'asd123456', '123123123', 'woaini', 'woaini520', '654321', '123abc', 'woaini521', 'q123456789', 'aa123456', 'abcd1234', 'abcd123456', '135792468', '123456789', '123321', 'asd123', 'rockyou', '123456', 'abc123456789', '123456789', 'qwe123456', 'qazwsxedc', '0', 'qwe123', 'w123456', '12345678900', 'qwertyuiop', '123456789abc', '1314520', '123456789q', 'z123456', '1357924680', 'aini1314', 'nicole', '666666', 'aaa123456', '7894561230', '789456123', 'zxc123', 'asdfgh', 'daniel', '123456qq', '1234567891', 'qazwsx', 'monkey', 'babygirl', 'michael', 'zxc123456', 'www123456', 'ovely', 'jessica', '123698745', 'w123456789', '1234567899', '1472583690', '1314520520', '123456789qq', 'ashley', 'iloveu', '123456aa', 'asdfghjkl', 'michelle', '123qwe', '123456q']

def check(username):
    url = 'http://localhost:8080/login'  # 替换为目标网站的登录URL
    data = {'username': username}
    for password in passwords:
        data['password'] = password
        response = requests.post(url, data=data)
        if response.status_code == 200 and password!="默认初始密码":
            print('存在弱口令！用户名：{}，密码：{}'.format(username, password))
            break
        # else:
        #     print('尝试使用密码 {} 登录失败'.format(password))

if __name__ == '__main__':
    # print(len(username_list))
    for i in username_list:
        check(i)

利用 python check.py > week_password.text，可以将使用弱口令的用户导出到text文本中。

4. 后续处理

可以将弱口令用户暂时冻结，上线时提示修改密码。