作者：Hackfan

什么是万能密码？

一个特定的字符串，用它能通过特定系统的验证程序，这个字符串被称为万能密码。

万能密码设置的原因

有意设置

• （公开）设置万能密码以防密码丢失或遗忘
• （公开）系统的默认密码
• （保密）开发者有意留下后门，在必要且合法的情况下使用，以解决实际问题
• （保密）开发者有意留下后门，以达到某种非法目的

无心设置

• 因系统、协议或编程出错等原因，无意留下的漏洞

万能密码的种类

默认密码

默认密码是系统出厂或者复位时，自动设置的固定字符串。大多数系统自带默认帐号、密码，如TP-LINK路由器的默认帐号、密码均为admin。由于系统管理员的疏忽，默认密码可能会成为万能密码。许多黑客扫描工具正是利用这一点，扫描默认密码，往往能够有一定收获。

内部密码

因某种需要，开发者为其产品留下了后门，或者是万能密码，被称为内部密码。内部密码往往是高度保密的，一旦流传出去，后果不堪设想。但由于管理不善等原因，内部密码不免泄露。泄露的内部密码将产生巨大的损失，因此许多公司和开发者已不再选择使用内部密码。

漏洞密码

黑客通过利用开发者失误所造成的漏洞，总结出了进入系统的办法，这样的办法可以被称为是“漏洞密码”。缓冲区溢出漏洞的Exploit程序，就可以被认为是一种漏洞密码。更为流行的漏洞密码是由于SQL注入漏洞引起的。黑客中流传比较广泛的“漏洞密码”应该非“‘ or ”=’”莫属了，在登录时，将‘ or ”=’作为登录密码，在一定情况下，能够成功登录。这就是漏洞密码的威力。

万能密码的预防

通过以上分析，我们可以得出以下几种预防万能密码的方法：

• 购买正规厂商的设备、软件，或使用开源产品，以规避留有后门的危险
• 在部署前，对源代码进行检测，以排除缓冲区溢出、注入漏洞等危险
• 在部署前，修改产品的默认配置，以符合部署要求
• 使用框架进行开发，以消除程序员产生漏洞的可能

标签：Exploit, SQL, SQL注入, 万能密码, 开源, 缓冲区溢出, 设想, 默认密码

相关日志

• 漫谈引号及转义－与正则表达式、SQL结合 (0)
• 关于胡吉阳 (5)
• 代码优化之分页输出 (0)
• 产品设计：QQ快捷键功能的设想与架构 (2)
• 也谈WordPress在Nginx下的Rewrite规则 (1)

• 上一篇: 虎年祝福
• 下一篇: ORM中，belongs to与has one的区别