看我如何分析网站运营数据的真伪?

看我如何分析网站运营数据的真伪?作者简介 战龙 卫士通攻防实验室核心成员 安全研究员 现从事通信保密和密码技术的研究 研究领域涉及密码激活成功教程 口令强度校验 系统安全加固 曾就职多家安全企业 在密码激活成功教程方面积累了丰富的经验 前言 2016 年数据泄露事件层出不穷 五月份就爆出 Li

欢迎大家来到IT世界,在知识的湖畔探索吧!

作者简介

战龙,卫士通攻防实验室核心成员,安全研究员。

现从事通信保密和密码技术的研究,研究领域涉及密码激活成功教程,口令强度校验,系统安全加固。

曾就职多家安全企业,在密码激活成功教程方面积累了丰富的经验。

前言

2016年数据泄露事件层出不穷,五月份就爆出LinkedIn的1.17亿条登录凭据,4.27亿条MySpace用户凭据,被黑客分别以5比特币和6比特币的价格出售。

2016年7月,有人泄露了2016年3月18日之前的某海外网站的数据库,并将其公布在了互联网上。

网上公布的数据比较杂乱,我们本着对用户密码使用习惯进行分析的目的,对数据进行了整理,删除了敏感信息,仅保留了密码字段。

此海外网站的数据库来自于互联网,本文对其进行密码行为分析,只是本着安全研究的目的,以此来增强大家的安全意识和密码使用习惯。在此,我们郑重声明,反对任何非法的,未经授权的渗透测试活动,特别是拖库行为。

密码预处理

首先,我们使用AWK文本处理工具,对密码进行预处理,提取Hash值

awk -F “,” ‘{a[$2]++}END{for(i in a){print i,a[i] }}’ xxx.media\private\database.sql > passwords.log

然后,按重复率进行排序

sort -k 2 passwords.log > passwords.sort

密码加密方式分析

首先,我们需要分析一下密码的加密算法。

这里,我们对弱密码””计算md5值,经过比对发现,这一md5值与第19个Hash值相同,所以基本可以确定其密码使用的是单次md5加密,没有加salt,也没有进行二次md5,这也就导致其密码很容易被激活成功教程为明文。

密码统计分析

看我如何分析网站运营数据的真伪?

从上表我们可以看出,有85万用户的口令为空,口令为常见弱口令(,,)的有27万。

除此之外,剩下的更多的用户口令都是以fwe,qwe开头,以的变形作为结尾,不同口令在数量上也大致相同。

虽然都是弱密码,但是上述的弱口令与我们常见的弱口令却存在很大差异。

附:

国内常见弱口令

000000,,,,,,,,,,,abcdef,abcabc,abc123,a1b2c3,aaa111,123qwe,qwerty,qweasd,admin,password,p@ssword,passwd,iloveyou,

国外常见若口令

password,,,qwerty,abc123,monkey,,letmein,trustno1,dragon,baseball,,iloveyou,master,sunshine,ashley,bailey,passw0rd,shadow,,,superman,qazwsx,michael,football

看我如何分析网站运营数据的真伪?

通过以上分析,再想到此App短期内快速攀升到美国,香港,印尼,台湾,新加坡等地的App Store的免费App的排行榜前列。

由此,我们是否可以有理由怀疑,这些用户是不是真实用户呢?这些用户很大可能是为了刷排名榜而存在的僵尸用户。

密码长度分析

看我如何分析网站运营数据的真伪?

总密码量为(约2000万),其中大部分为8位密码,8位密码总计为(约1400万),占全部密码的67.77%。

此App的密码策略要求密码长度为8-20位,所以大部分人选择了8位,这样就不难理解了。因为过于长并且没有任何含义的口令,用户是比较难记忆的。

结论:

①.8,9,10,11位密码占总密码数的84%。

②.按密码长度占比由高自低: 8 > 10 > 9 > 6 > 7。

PS:虽然密码限制的长度需要至少八位,但是还是能发现有小于8位长度的密码存在。

③.8位密码比例为67.77%。

密码组成结构分析

看我如何分析网站运营数据的真伪?

由上图分析可以得出,8位长度的密码中,用纯数字组成密码的情况很少,更多的是由数字和字母进行混合的密码。

用l代表字符,d代表数字,我们对各种长度的混合密码进行一下结构分析。

看我如何分析网站运营数据的真伪?

看我如何分析网站运营数据的真伪?

看我如何分析网站运营数据的真伪?

经验与教训

本网站的用户口令仅计算了一次md5就储存在了数据库之中,这是非常不安全的。我们应当采用更加安全的Hash函数,并且对用户口令进行加salt处理等,以此来加强网站的数据保护能力。

免责声明:本文的目的是进行安全研究和提高用户安全意识,数据库来自于网络公开数据。

更多精彩优质内容请关注微信公众号:301在路上

合作请联系:微信号 (备注:单位+姓名)

免责声明:本站所有文章内容,图片,视频等均是来源于用户投稿和互联网及文摘转载整编而成,不代表本站观点,不承担相关法律责任。其著作权各归其原作者或其出版社所有。如发现本站有涉嫌抄袭侵权/违法违规的内容,侵犯到您的权益,请在线联系站长,一经查实,本站将立刻删除。 本文来自网络,若有侵权,请联系删除,如若转载,请注明出处:https://itzsg.com/92837.html

(0)
上一篇 2024年 11月 28日 上午11:23
下一篇 2024年 11月 28日 下午12:00

相关推荐

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注

联系我们YX

mu99908888

在线咨询: 微信交谈

邮件:itzsgw@126.com

工作时间:时刻准备着!

关注微信