WEB开发网
开发学院网络安全安全技术 你的服务器密码“藏”好了吗 阅读

你的服务器密码“藏”好了吗

 2008-08-28 13:19:39 来源:WEB开发网   
核心提示:前不久笔者应邀到某公司做网络渗透,这家公司的网络是由windows2003服务器和XP系统搭建的小型Active Directory,你的服务器密码“藏”好了吗,其中一台服务器连接着内网数据库,所有服务器都开放了远程终端,针对这种情况,每个企业都可以更有效地管理自己的密码,经过渗透测试,笔者发现了一些很严重的常见安全性

前不久笔者应邀到某公司做网络渗透,这家公司的网络是由windows2003服务器和XP系统搭建的小型Active Directory,其中一台服务器连接着内网数据库,所有服务器都开放了远程终端。经过渗透测试,笔者发现了一些很严重的常见安全性问题,其中最值得一提的就是密码安全管理问题。

在测试WEB的时候,出现了SQL注入漏洞,也由此进一步获得了连接数据库的密码。然而数据库的机器可能故意放在DMZ区,所以不能上网。笔者在WEB网站中查找到了WEB管理员的密码,却发现和刚才获得的连接数据库密码明显有相同之处。WEB 管理员的密码是web@123456(123456代表的是朋友公司的名字),而连接数据库的密码是sql@123456。发现了这一点共同之处后,根据经验,笔者抱着侥幸的心理直接登陆终端输入密码webserver@123456,竟然成功了。就这样获得了WEB服务器的管理员权限。在之后的渗透过程中,笔者测试mail服务器的时候直接输入mailserver@123456,竟然也成功了。有了这样一个“公式”,接下来的测试就轻松多了,把服务器根据情况把密码重新组合,就这样把余下的服务器直接被轻松拿下。最后在其中一台服务器笔者还意外的“获得”了一个记录所有服务器的密码的XSL文档,这个XLS文档密码还包括了域名的密码。

笔者以往的经验表明,其实这样的情况非常普遍,假如读者是一位网管,可以回想一下,在读者所处的企业或所管理的服务器有没有这样的类似问题。但是正是因为这种密码的缺陷,给企业服务器或者内网带来灾难。

密码的安全一直以来都是一个难题。其实,针对这种情况,每个企业都可以更有效地管理自己的密码。以下是笔者就密码管理给朋友公司的管理员提出的建议,也给广大的网管朋友提个醒:

1 2  下一页

Tags:服务器 密码

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接