很多骇客入侵个人网站的一个重要途径就是通过sql注入漏洞获得管理员帐号及密码,进而堂而皇之的进入你的管理后台,上传asp或者php木马,进而提权管理员或者干别的事情。
但是对哈希(md5消息摘要算法)加密稍微了解一点的站长应该知道,绝大多数数据库储存密码都是经过md5加密过后的密文,目前情况下以个人能力没有任何可能被破解,但是为什么我们的密码还是能被破解呢?
我的网站前段时间被挂马,也是对此很为不解,难道哈希可以破解吗?知己知彼,百战不殆。于是我专门到一些黑客网站下载了教学视频,发现这些骇客最喜欢的一个网站就是cmd5.com ,这个网站是专门进行md5密码破解加密的,该网站的数据库中包含了大量的已知的明文密文对照表,一般的6位以下的明文md5值很容易就会被破解。但是我们如果用18位的密码明文呢? 这下这个网站肯定破解不了吧,来,我们操作一下
随便写个18位的字符串,然后在该网站加密,然后把密文填在文本框中,霍,好家伙,这也能破解。。。
仔细试了几遍才发现,只要是再该网站加密的明文,不管你多么长,都能顺利解密,就是因为一旦这个网站加密过后,就会把明文和密文对应起来存储到数据库中,这样以后如果有相对应的密文输入要求解密,就会调取对应的明文,不信大家可以试一下,在别的网站加密,然后在该网站解密,一般十几位的没有规律的字符串解密成功几率很小的,但千万不要在该网站加密,否则,你的密码就不是密码了,记住这一点,你就不用怕被爆管理员帐号和密码了,大胆的你甚至可以放出你的密码,让他们破译去吧,当然前提一定是要像这种密码:AjIuYT45_-!!dfsdIUEHF2@22JDS
这种格式的密码基本上不会被解密的,记住,只要你不在cmd5.com上面查询该密码的明文 ,这一点是最重要的我的就是因为好奇在该网站上查询我密码的明文,被骇客利用了。。。。唉
1 密码一定要大于12位,最好是 大写字母+小写字母+数字+符号
2 千万不要到cmd5.com查询你的密码的md5值,一旦查询就应立即更换密码
3 千万记住第一条,不要怕记不住,不要怕麻烦,等你网站被挂马,流量锐减,收入锐减时候你裤兜哭不出来。
第一次写这些,不知道能不能发表,呵呵,其实觉得admin5应该增加 网站安全栏目,现在有这种栏目的都是黑客网站,站长自己的网站怎么能没有呢。