Продолжаем решать задачки по информационной безопасности web-серверов. Сегодня задачка с портала roo-tme.org, называется "Weak password". За решение задачки дают 10 баллов, ничего сложного.
"Слабый пароль" — в названии задания уже есть подсказка.
Простой пароль очень легко угадать или подобрать. Чем сложнее пароль, тем больше времени необходимо затратить на его угадывание или подбор. Существует много приложений для генерации сложных паролей, воспользуйтесь ими.
Ссылки
Решение
Переходим на страницу задания:
http://challenge01.root-me.org/web-serveur/ch3/
У нас спрашивают логин и пароль.
Пробую несколько распространённых вариантов: 111, test... Подходит логин "admin" и пароль "admin". Не стоит делать пароль таким же как и логин...
После логина попадаем в закрытый раздел сайта.
Говорят, что найденный пароль можно использовать в качестве флага. Флаг: admin.
Валидируем.
Флаг подходит, зарабатываем 10 очков.
Безопасность
- Пароль не должен быть таким же как логин.
- Пароль должен быть длинным.
- Можно воспользоваться генератором паролей.
- Для надёжности пароль может содержать заглавные и строчные буквы, цифры, пробелы и специальные символы.
- Пароль не должен содержать личную информацию, которую легко узнать. Например: имя, фамилию или дату рождения, девичью фамилию.
- Пароль не должен содержать простые слова, фразы, устойчивые выражения и наборы символов, которые легко подобрать.
123456,QWERTY. - Пароль нужно периодически менять.
- Никому не говорите свой пароль.
- Пользуйтесь средствами двухфакторной аутентификации.
- Используйте разные пароли для разных сервисов.
- Нигде в Интернете не проверяйте свой пароль на сложность или не проверяйте на содержание в различных базах украденных паролей.
- Обеспечьте себе возможность восстановления аккаунта в случае, если пароль украдут.
- Пароль "ВБулькеБонусКартонныйТыщщаДва" легко придумать, просто запомнить, практически невозможно взломать.