1

https://xxxx/xx/xxx/xxx/login.html

1

开发人员给多个账号设置了相同且简单易猜的密码 12345@qwert 。一方面，“相同密码” 的设置意味着只要攻击者获取到其中一个账号的密码，就能访问所有使用该密码的账号，扩大了攻击面；另一方面，“弱密码” 很容易被攻击者通过暴力破解、社工库查询等方式获取， 从而导致系统中大量用户数据面临泄露风险，如用户个人信息、业务数据等，还可能导致系统被恶意篡改、破坏，严重影响系统的安全性和业务的正常运行 。

1
2
3

根据提供的账号密码可以猜测系统使用的是弱口令+弱用户名进行认证。这里直接尝试用户+给出来的密码进行测试。

发现几个用户可以使用该密码（123***rt）进行直接登录到系统。

1
2
3
4
5

1、 要求用户设置高强度密码，密码长度至少 8 位以上，并且包含大写字母、小写字母、数字和特殊字符等多种字符类型。
2、 若是初始密码：
(1) 随机生成高强度密码（如 12 位：A8k#p2Q!x9Z3），切勿使用固定并且为弱口令密码。
(2) 初始密码生成后，超过 7 天未登录，失效。
3、 避免用 ceshi、test、admin、user 、姓名缩写等易猜名称作为用户名，建议采用 “业务前缀 + 随机字符” 的命名方式（如 test_8f2Dk、app_test_3xQ7），增加攻击者的猜测难度；