中级网络管理员实操练习1中级,一,习题,实操1,实际操作,会计实操
扫扫二维码，随身浏览文档
手机或平板扫扫即可继续访问
中级网络管理员实操练习1
举报该文档为侵权文档。
举报该文档含有违规或不良信息。
反馈该文档无法正常浏览。
举报该文档为重复文档。
推荐理由：
将文档分享至：
分享完整地址
文档地址：
粘贴到BBS或博客
flash地址：
支持嵌入FLASH地址的网站使用
html代码：
&embed src='/DocinViewer-4.swf' width='100%' height='600' type=application/x-shockwave-flash ALLOWFULLSCREEN='true' ALLOWSCRIPTACCESS='always'&&/embed&
450px*300px480px*400px650px*490px
支持嵌入HTML代码的网站使用
您的内容已经提交成功
您所提交的内容需要审核后才能发布，请您等待！
3秒自动关闭窗口限制拨入权限:给予用户&远程访问权限&的&允许访问&权限,&quo..
扫扫二维码，随身浏览文档
手机或平板扫扫即可继续访问
综合实训四
举报该文档为侵权文档。
举报该文档含有违规或不良信息。
反馈该文档无法正常浏览。
举报该文档为重复文档。
推荐理由：
将文档分享至：
分享完整地址
文档地址：
粘贴到BBS或博客
flash地址：
支持嵌入FLASH地址的网站使用
html代码：
&embed src='/DocinViewer-.swf' width='100%' height='600' type=application/x-shockwave-flash ALLOWFULLSCREEN='true' ALLOWSCRIPTACCESS='always'&&/embed&
450px*300px480px*400px650px*490px
支持嵌入HTML代码的网站使用
您的内容已经提交成功
您所提交的内容需要审核后才能发布，请您等待！
3秒自动关闭窗口一般网站会将密码加密后储存到数据库里去，那网站管理员有没有权限查看用户的密码呢？
比如注册一些论坛什么的，论坛的管理员能否或有技术手段查看／得到用户的密码？ 基于以前的一些风闻，用户资料也是可以买卖的，比如一万条多少钱一类的，顺便在此求证。
按投票排序
本来想评论的，但是由于目标对象是提问者，就添加答案了。Rio说的从技术角度上来讲没有任何问题，但如果单纯要回答这个问题，我觉得会有误导之嫌——请允许我用这个词。
是的，如果管理员要查你的密码，他可以做很多手脚，总有办法拿到。密码是加密存储的，但他会知道用的是什么加密方式，是否可逆，能否碰撞。
可是粗暴地查看总是不行的——这就是我想告诉提问者的，不必过度担心。版本越新的数据库，会增加越来越多的安全措施，弥补漏洞，强制地保障系统安全，这就够把非技术管理员及一般的攻击者挡在门外了。CSDN的事件，让我震惊的既不是被入侵，也不是曾用过明文，而是CSDN的地位配上（2010年才改为加密存储）的不负责任做法，显出的巨大反差。可见，对于中小企业、个人网站来说，比起人气及效益，安全实在是太末节了，以至于他们不被显著地攻击一次都不想把任何心思放在这上面。最后补充一点，有一个行业事实是，泄露并贩卖那些用户信息的，其实绝大多数并不是信息拥有者，而是找到信息拥有着保管不妥善的漏洞从而非法获取的人。对于信息拥有者来说，用户信息是事关企业声誉的、有必要努力去保障安全的重要资产——如果它有声誉的话。
负责任的网站，即使数据库的DBA也是无法看到明文密码的。如果用户忘记密码，通常会给用户返回一个临时密码，用户确认临时密码生效后，登录后再设置自己的密码。只要涉及到密码，数据库中一定采用密文存储
有。因为不管怎样，用户在登陆的时候终究是要输入明文的密码，比如 123456，然后这个明文的密码发送到服务器端进行验证。也就是说，只要在验证密码的时候插入一个钩子就可以得到用户的帐号和明文密码的组合。为了安全，不要在任何情况下在多个网站使用相同的帐号密码组合，否则一旦你在一个网站的帐号密码被泄露，这些信息会波及到你在其他网站，从而造成更大的损失。至于如何管理好那么多帐号密码，请移步知乎的这个问题：
网站拿到明文密码后，不负责任的网站就直接存数据库了。这样的后果显而易见：一旦数据库泄露，所有用户的帐号密码就公之于众了，然后拿到这些泄密资料的人就可以用这些组合在其他网站逐个试出可用的帐号，造成连带的后果。这次泄露了的 CSDN 就是这样的典型案例。非常不幸的是，存明文密码的网站不在少数，而且不少是很多所谓的有公信力的大网站。
负责任的网站拿到明文密码后通常会做不同程度的保护。最常见的手法就是将密码进行哈希（hash）运算，然后只在数据库中存哈希后的值。哈希运算是一个单向的过程，即在数学性质上不可能（其实也不是绝对不可能，只是需要的运算量太大从而变得不现实）从哈希值反算出哈希前的明文密码。比如我设定的登陆密码明文是 123456，用最常见的 MD5 哈希运算 MD5("123456") 得到 e10adc3949ba59abbe56e057f20f883e 这个哈希值。然后网站把这个哈希值存在数据库中。下次我登陆的时候我还是输入 123456 这个明文密码，网站拿到明文密码后先进行 MD5 哈希运算，把得到的结果和数据库中存储的哈希值进行比对，如果两个哈希值一致，说明我输入了正确的明文密码。
但实际上如果网站只用简单的哈希运算，比如 MD5、SHA1 等快速哈希函数，也是不安全的，因为在现在的计算机硬件条件上简单的哈希保护机制会被多种方法破解。比如最简单高效的彩虹表攻击，所以网站还需要把哈希过程弄得更加复杂一点。彩虹表攻击的原理和防护机制详见知乎的这个问题：
更加安全的保护机制是客户端不向网站发送明文密码，而是采用比如公开密钥等非对称加密方式。但在大规模部署的时候很难向那么多小白用户解释清楚这样复杂的加密机制的工作原理，所以实践中一般只有管理员登陆服务器这样的高危行为才会采用非对称加密，而面向公众的网站页面登陆还是采用简单对称密码。当然业界也在为了解决这个难题而努力，比如一直被寄予厚望的 OpenID 和最近 Mozilla 开始推的 BroswerID。只是这些替代方案解释起来还是很不容易，能否普及起来、什么时候普及起来还不清楚。
最后，在这个世界变得完全美好之前，容我再啰嗦一遍：为了安全，不要在任何情况下在多个网站使用相同的帐号密码组合，否则一旦你在一个网站的帐号密码被泄露，这些信息会波及到你在其他网站，从而造成更大的损失。如何管理好那么多帐号密码，请移步知乎的这个问题：
感觉这里的回答有一点偏题了。这个问题是管理员是否能够有权限查看用户的密码，但是回答里主要阐述了明文传输、Hash函数、公私钥加密等方法。请注意，这些方法更多的是防止传输过程中被窃听，但是最终数据库中会存一个值Value，登录过程中会有一个逻辑将用户输入的值Value‘进行转换。假设这个转化函数为f(Value')，最终如果Value=f(Value')则登陆成功，反之失败。我们一点一点来探讨一下如何增强程序的逻辑来防止管理员通过查看用户数据库里密码的值来通过正常的程序登陆相应用户账号的方法：（管理员通过后台绕过程序的登陆过程之间访问用户账号不在技术的讨论范围内。）明文存储明文存储显然是不靠谱的，管理员可以通过查看到的密码直接登陆用户账号。存储实际密码的哈希函数数据库中只需存储实际密码的哈希函数，这个哈希函数可以是MD5、SHA1等，这样的情况下管理员无法直接获得用户的密码用来登陆相应的账号。正如 提到，这种方法可能会遭到彩虹表攻击。更加危险的是，对于管理员来讲如果他拥有对数据库的修改权限，那么他将有一种更加简单的攻击方式。自己注册一个账号A与密码P。在数据库中查询自己的账号的密码的哈希值Hash(P)。将要攻击的账号A'的密码的哈希值Hash(P')修改成自己账号的哈希值Hash(P)。利用要攻击的账号A'与自己的密码的哈希值Hash(P)从正常程序入口登录进行攻击。攻击结束将要攻击的账号A'的密码的哈希值改回Hash(P')。存储账号+密码的哈希函数为了防止上述的攻击方式，即跨账号的攻击。我们在数据库中存储的是账号+密码的哈希函数，这样的好处是管理员无法通过已有的其他账号来推测某些账号的密码。同时，彩虹表攻击的难度也增加了。为了攻击账号A，攻击者需要针对A来建立一个彩虹表；而这个彩虹表无法被应用去攻击账号B。存储域名+账号+密码的哈希函数上述方法解决的是跨账号的攻击问题，以此类推。用户在不同域名中的账号与密码可能有关联，因此利用了域名+账号+密码的哈希函数可以防止此类跨域攻击。
你请不起做网络安全的人我也就忍了，你最起码把我的密码MD5一下嘛....
通常数据库是不保存明文密码的，也就是说会对明文密码进行一系列不可逆的运算再进行保存，每次用户登陆时候重新进行这个运算来验证，所以管理员就是看到了也“没用”。关于CSDN，我就不理解了，保存明文密码这得是多么二的事情啊。
1.增加一点语句就可以直接把register到的用户和密码明文存入库中。
2.直接用彩虹表来跑。O(∩_∩)O哈哈~
没有，如果是在题主题目所述的前提条件下（将密码加密后储存到数据库里去）。而Rio说的在验证密码的时候插入钩子，并不属于把密码加密后储存，这样网站安全风险较大一般也不会有站长去做。另外想要获得不加密的密码储存也需要在登陆页面插入类似以下的代码（以PHP为例）然后等用户再次登陆，并无法直接解密密文（指的使用不可逆加密算法的情况，使用凯撒密码加密的肯定是可以轻易还原的，不过用凯撒密码加密可真是一件奇怪的事啊。）if(登陆条件成立){
$handle = fopen("user.txt", "a+");
fwrite($handle, date("Y-m-d")."|".$user."|".$password."\n");
fclose($handle);
一般注册一些论坛，如果在不修改LoginPage的情况下，论坛管理员也不会有权限看到密码的，只能从数据库看到加密后的密文。以比较常见的Discuz!论坛程序为例，其加密方法也不是常见的普通MD5加密，而是MD5(MD5+salt)（叫法随意）。
简单说下MD5(MD5+salt)加密算法，用php函数表示就是md5(md5($password).$salt)，$salt是一个六位随机数字，这样一来，123456加密后会变成什么呢？1、生成随机数$salt=179243，最终会和加密后的密文一同入库。2、MD5(123456)=e10adc3949ba59abbe56e057f20f883e3、加
salt，变成e10adc3949ba59abbe56e057f20f883e1792434、再次加密，最终密文Password=MD5(e10adc3949ba59abbe56e057f20f883e4d626bcdc53baefe34d71这样的加密方法我个人认为目前已经不可能通过彩虹表爆出，如果要爆出这样的10位数字母+数字的密码，彩虹表需要的数据量大家可以计算一下。
题外话就不说了，最后解答题主最后一问：“基于以前的一些风闻，用户资料也是可以买卖的，比如一万条多少钱一类的，顺便在此求证。”
确实是可以买卖的，一般买卖的是电子邮箱地址（少数网站会要求会员等登记手机号码数据，这些更值钱）之类的联系方式，买来用来发垃圾邮件的。从一些网站购买电子邮箱地址，优点是针对性强，比如你想推销一些数码产品，那么你可以主动联系一些数码网站的站长收购邮箱地址，这样用了发垃圾邮件推销产品成功率就比你穷举QQ邮箱地址那样发要高得多。出售价格一般波动比较大，是看用户价值，像一些车友网站，会员的联系方式肯定要比李毅粉丝站的值钱。
如果题主比较担心自己邮箱地址泄露，可以使用Gmail的别名功能，比如你的Gmail地址是XXX@ ，当你注册知乎的时候你可以填写XXX+zhihu@ ，这样注册过后如果知乎把你邮箱地址（XXX+zhihu@ ）卖了，别人发广告到你的邮箱地址XXX+zhihu@ ，你就可以知道知乎把你邮箱地址卖了。（蛤蛤不过要是被知道就不灵了，一个正则过滤就可以把这些全部清理干净）
一般情况下密码会经过加密然后放倒数据库里面
一般这一过程使用不可逆的算法
比如你的密码是123 加密后是awd
管理员可以看到awd,但是无法还原出来123
要正式从登陆界面登陆需要的是123 所以这样是没用的
不过如果他在加密之前就获取密码的话就可以了
一般情况下 DBA 只能够查看到加密后的密码。不一定知道加密算法。所以很难对密码进行破解。其实更加可能盗用密码的是程序员！他们知道算法，也能够通过数据库或者程序知道你们的加密密码就可以进行破解。升至留下后门收集密码！最后 如果你不信任一个网站 你就顺便设置一个密码（非你的常用密码）。
通过md5等哈希算法加密后放到数据库本身是安全的，因为从理论上这些加密后的数据是不可逆的，也就是说管理员并不知道你的明文密码。但是目前通过彩虹表和md5碰撞库的方法，可以快速破解大量弱密码，这样就要求用户提高自身的密码强度，并且在不同的网站采用不同的密码和密码方式（防止通过密码心理学和社工进行爆破）。而在服务器端采用动态salt的方式对密码进行加密，也可以有效防止彩虹表的攻击。请记住对密码进行加密一定要采用hash，也就是不可逆，而不是单纯的加密算法。
一般类的网站会使用密文存储，理论上管理员看不到明文密码。至于加密水平，各网站参差不齐吧！曾经试图截获同网络某只的fb cookie，然后顺利拿下 fb password -1 minute～
其实，上面的很多回答都提到数据库管理员只能看到密文存储的密码，这是的，我在想，管理员都能直接操作数据库了，还要你密码干啥，几个SQL数据把你的信息查个遍，呵呵，这时候有必要知道你密码么，数据这一条对数据库管理员没啥意义，应该问的是网站一般的管理员，一般管理员肯定不知道，就算明文存储，他们也不知道。
可以看见，不过不是明文密码，而是加过密的，要通过解密才可以看到
还有一种方式，即抛弃用户名和密码的验证机制，直接使用数字证书进行验证。而数字证书存储在特指的智能卡中（也叫UKey），无法被复制，证卡本身也具有密码保护，这样就可以实现更高的安全性了。不过使用数字证书的话，需要再客户端电脑上安装软件配置一些东西，对于普通用户来说会有一些困难。不过，安全和方便总是矛盾的嘛。
有感rio说的一定明文传服务器，前提是https。非https一般会客户端hex一把，当然我也从access_log中抓过明文。。
曾经有一次被要求必须明文保存用户密码，后来有人查询用户资料就直接问我们要用户密码。
有节操的网站的数据库存的都是加密之后的密文。加密过程是不可逆的。网站登录验证过程是把用户输入的密码同样走一遍加密过程看看跟密文是否一致，而不是直接对比输入密码和注册密码。管理员即使是直接查看数据库也是没办法看到原文的。当然要说特殊情况，密文在有些时候可以还原成原文，要看密码强度和加密强度。比如最简单的MD5算法配合6位以下密码的话...随便找个MD5库都能查出来
首先要明白储存数据是使用数据库来储存了。（维基百科是用的文件的形式）假设现在是一个博客系统：那么你所发表的文章与用户信息都需要使用数据库来储存。数据库的储存是不分密码与文章的，不会因为密码重要就安全性就高，数据库只是储存数据。那么既然文章可以读取出来，同样的密码也是可以读取出来的。所以管理员只要拥有数据库权限就是可以查看所有的数据
但凡有点节操的网站存贮密码肯定是加密后密文，且不可逆，比如md5。dba看到密文也没辙。
已有帐号？
社交帐号登录
无法登录？
社交帐号登录查看:6021|回复：9
高级工程师
windows 2003&&AD中，
通过DC将域控策略和域组策略中密码长度复杂难度都禁用了。就是不需要设置字母大小写数字的哪个选项
刷新策略，然后更改域用户的密码依然需要设置为符合复杂难度的密码。
然后又通过对账户组添加策略，策略里也禁止使用密码复杂难度。
更新策略。
再试新建用户，修改原用户的密码，依然还是需要设置为符合密码复杂难度的密码
为什么？这个在哪里配置才能使用全数字的密码？？
密码策略必须在域控制器安全策略里设置里设置（管理工具里可以找到，或者在AD计算机和用户的域名上的属性里打开组策略）
专注微软技术服务
1、按如下设置配置你AD中的gpmc.msc，并运用到相关OU
2、在客户端上cmd窗口里输入：gpupdate /force或者重启计算机！
高级工程师
的确是这样设置的。
而且域控策略
域策略都设置了禁用。还是不行。
引用:原帖由 tankm1m2 于
15:26 发表
的确是这样设置的。
而且域控策略
域策略都设置了禁用。还是不行。 1、楼主，首先说明一下，密码策略的实施是属于域策略，所以需要在域上实施策略！
2、你只需要在域组策略上设置禁用密码复杂度问题，还需要增加如下设置：
& && & 密码长度最小值：０
　　密码最长使用期限：０
　　密码最短使用期限：０
　　强制密码历史：０
　　用可还原的加密来储存密码：已禁用
之后等待一段时间后才可以生效，或者多执行几次gpupdate /force!这个一定不能急，要等！
我的微博：.cn/lzy821218
高级工程师
哦。再尝试下。
我以为只是把密码复杂难度禁用了就可以了。
高级工程师
引用:原帖由 lzy821218 于
15:55 发表
1、楼主，首先说明一下，密码策略的实施是属于域策略，所以需要在域上实施策略！
2、你只需要在域组策略上设置禁用密码复杂度问题，还需要增加如下设置：
& && & 密码长度最小值：０
　　密码最长使用期限：０
　　密码最短使用期限：０
　 ... Ok。。按照这个配置了。解决了。原来如此。
高级工程师
全国政协主席
引用:原帖由 lzy821218 于
15:55 发表
1、楼主，首先说明一下，密码策略的实施是属于域策略，所以需要在域上实施策略！
2、你只需要在域组策略上设置禁用密码复杂度问题，还需要增加如下设置：
& && & 密码长度最小值：０
　　密码最长使用期限：０
　　密码最短使用期限：０
　 ... 赞同这种做法，我今天下午就是安装这样的做法，除去了我域内的密码策略！不过建议你还是用上密码策略！
初级工程师
個人覺的密碼最長使用期限不用設置成０，也是行的。
你想啊，有些公司規定必須二個月強制修改一次密碼，
如果這個設置成0，那不是無法實現強制修改密碼了.
高级工程师
企业应用要考虑策略的安全性，我只是在测试的时候遇到这个问题，
测试的时候不想密码那么麻烦……}