尝试访问

http://mdsec.net/auth/169/

6.2.12 可预测的初始密码

一些应用程序一次性或大批量创建用户,并自动指定初始密码,然后以某种方式将密码分配给所有用户。这种生成密码的方式可让攻击者能够预测其他应用程序用户的密码。基于内联网的企业应用程序常常存在这种漏洞。例如,应用程序为每位雇员创建一个账户,并向其发送一份打印好的密码通知。

如果所有用户收到相同的密码,或者根据其用户名或工作职能创建的密码,这种密码最容易被攻破。另外,生成的密码可能包含某种顺序,攻击者查看少数几个初始密码样本即可确定或猜测出其他用户的密码。