代码审计——硬编码口令/弱口令详解
【摘要】 代码审计——硬编码口令/弱口令详解
01 漏洞描述
根据网站所使用的第三方组件,寻找特定的弱口令或默认口令进行登录。或在代码层面寻找写死的账号口令,尝试进行登录。
02 审计要点
对前端源代码以及系统后台代码进行全文关键字检索,如key、pass、pwd、password,查看是否存在明文显示的账号密码。
03 漏洞案例
源码中某前端js页面,泄露管理员默认账号及密码
使用默认管理员账号密码,登录至后台
04 修复方案
1、禁止使用弱口令,口令应满足一定的复杂度,如使用长度8位以上,包含字母、数字、特殊符号组成密码。
2、注意修改默认口令,应用部署完毕后即使更改默认口令,且密码复杂度符合要求。
3、建议不要直接将口令、账号等信息直接以明文方式显示在代码层面。
【版权声明】本文为华为云社区用户原创内容,转载时必须标注文章的来源(华为云社区)、文章链接、文章作者等基本信息, 否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱:
cloudbbs@huaweicloud.com
- 点赞
- 收藏
- 关注作者
评论(0)