1. 项目概述为什么“123456”依然是最大的安全漏洞每次看到安全报告里“123456”和“password”常年霸占最常用密码榜首我都觉得既好笑又无奈。作为一名在安全领域摸爬滚打多年的从业者我处理过太多因为弱口令引发的安全事件——从内部测试环境被轻易攻破到生产服务器被植入挖矿脚本甚至客户数据泄露。这些事故的起点往往就是一个简单到令人发指的密码。这个项目就是源于一次真实的内部攻防演练。我们团队模拟攻击者尝试对公司的测试服务器集群进行“友好”的渗透。结果呢不到半小时我们就通过一个公开的弱口令字典成功“拿下”了三台使用默认或简单密码的服务器。这件事给我们敲响了警钟安全意识培训年年做强密码策略年年讲但漏洞依然存在。问题的核心在于策略是静态的而人的行为是动态且容易松懈的。因此我决定动手写一套东西它不仅仅是一个检查工具更是一个完整的“弱口令治理”闭环方案。核心目标有两个第一自动化地发现系统中的弱口令风险用攻击者的视角给自己做体检第二自动化地推动加固不仅仅是报告问题更要能联动系统强制或引导将弱口令升级为强密码。整个方案将用Python实现因为它灵活、库丰富非常适合做这种自动化安全运维脚本。接下来我会带你完整走一遍从攻防演练到自动化加固的全过程分享其中所有的技术细节、踩过的坑和实战心得。2. 攻防演练核心弱口令扫描器的设计与实现真正的安全加固始于知己知彼。你不知道风险在哪就谈不上有效防护。攻防演练中的“攻”就是为了主动发现这些“彼”。我们首先要构建的就是一个高效、低调、可定制的弱口令扫描器。2.1 扫描器架构设计思路一个实用的扫描器不能只会“狂轰滥炸”那样极易触发安全设备的告警甚至可能因为频繁失败连接导致账户被锁。我的设计遵循以下几个原则协议支持模块化初期聚焦最常见的SSH、MySQL、Redis、FTP、Web表单登录等。每种协议独立一个模块便于扩展。字典管理智能化不仅要使用通用的弱口令字典还要能基于目标系统信息如公司名、产品名、日期生成定制化的字典提高命中率。并发控制与延时必须支持控制并发线程数并在每次尝试之间加入随机延时模拟真人操作规避风控。结果记录与断点续传扫描可能耗时很长需要详细记录日志并能从中断处恢复。规避检测机制考虑User-Agent轮换、代理IP池等基础反检测手段针对Web扫描。基于这些思路扫描器的核心流程可以设计为任务解析 - 字典加载 - 协议调度 - 并发尝试 - 结果记录。2.2 核心代码模块拆解我们以最经典的SSH弱口令扫描为例因为服务器SSH端口22暴露在公网的情况依然常见风险极高。首先需要安装必要的库paramiko(用于SSH连接)、concurrent.futures(用于线程池控制)。import paramiko import socket import logging from concurrent.futures import ThreadPoolExecutor, as_completed import time import random # 配置日志 logging.basicConfig(levellogging.INFO, format%(asctime)s - %(levelname)s - %(message)s) logger logging.getLogger(__name__)接下来是核心的SSH尝试函数。这里有个关键点paramiko的SSHClient在连接超时或认证失败时会抛出异常。我们需要捕获这些异常来判断结果。def try_ssh_login(host, port, username, password, timeout5): 尝试单次SSH登录 :param host: 目标主机 :param port: SSH端口 :param username: 用户名 :param password: 密码 :param timeout: 连接超时时间 :return: (是否成功, 耗时) 或 (False, 错误信息) ssh paramiko.SSHClient() ssh.set_missing_host_key_policy(paramiko.AutoAddPolicy()) # 自动接受未知主机密钥仅限测试环境 start_time time.time() try: ssh.connect(hostnamehost, portport, usernameusername, passwordpassword, timeouttimeout, banner_timeout10) end_time time.time() ssh.close() return True, round(end_time - start_time, 2) except paramiko.AuthenticationException: return False, 认证失败 except socket.timeout: return False, 连接超时 except Exception as e: return False, f其他错误: {str(e)}注意AutoAddPolicy()在生产环境扫描中非常危险它会将未知的主机密钥自动添加到本地known_hosts可能存在中间人攻击风险。在内部可控环境演练可以使用但对外扫描或严肃环境应使用WarningPolicy()或提前获取并验证主机密钥。有了单次尝试函数我们需要一个调度器来管理字典和并发。这里设计一个SSHScanner类class SSHScanner: def __init__(self, hosts, username_list, password_list, max_workers10, delay(1, 3)): 初始化扫描器 :param hosts: 目标主机列表可以是单个IP或域名 :param username_list: 用户名列表 :param password_list: 密码字典列表 :param max_workers: 最大并发线程数 :param delay: 每次尝试后的随机延迟范围秒例如(1,3)表示延迟1-3秒 self.hosts hosts if isinstance(hosts, list) else [hosts] self.username_list username_list self.password_list password_list self.max_workers max_workers self.delay_range delay self.results [] def scan(self): 执行扫描 tasks [] # 生成所有任务组合主机 x 用户名 x 密码 for host in self.hosts: for username in self.username_list: for password in self.password_list: tasks.append((host, username, password)) total_tasks len(tasks) logger.info(f开始扫描总任务数: {total_tasks}) with ThreadPoolExecutor(max_workersself.max_workers) as executor: future_to_task {executor.submit(self._try_login, task): task for task in tasks} for i, future in enumerate(as_completed(future_to_task), 1): host, username, password future_to_task[future] try: success, message future.result() if success: logger.critical(f[] 成功破解主机: {host}, 用户: {username}, 密码: {password}, 耗时: {message}s) self.results.append({ host: host, username: username, password: password, status: success, message: message }) else: # 失败日志可以调低级别避免刷屏 # logger.debug(f[-] 失败 {host} - {username}:{password} - {message}) pass except Exception as e: logger.error(f任务执行异常: {e}) # 进度提示 if i % 100 0: logger.info(f扫描进度: {i}/{total_tasks}) logger.info(扫描结束。) return self.results def _try_login(self, task): 包装登录尝试加入延迟 host, username, password task # 随机延迟避免触发风控 time.sleep(random.uniform(*self.delay_range)) return try_ssh_login(host, 22, username, password)2.3 弱口令字典的“艺术”扫描器的威力一半在于字典。一个“好”的字典绝不是简单地从网上下载一个几十GB的“超级字典”。那样效率极低噪音极大。我的经验是分层构建基础字典包含“123456”、“admin”、“password123”、“公司名2023”等全球及企业内常见的弱口令。这个字典要小通常几百到几千条用于快速扫描。规则生成字典根据收集到的信息动态生成。例如如果知道目标公司叫“ABC科技”成立年份是2010年常见用户名是“admin”、“root”、“test”。那么可以生成ABC2010,ABC2010,ABCtech,abc123admin2010,rootABC,test!#常见变形大小写转换、后缀加!、、123、!#等。 这可以用Python的itertools和字符串处理轻松实现。针对性字典如果通过信息收集拿到了部分员工邮箱、姓名拼音可以生成姓名拼音生日等组合的字典。在代码中我们可以这样实现一个简单的规则生成器import itertools def generate_password_rules(base_words, suffixes, prefixesNone): 基于规则生成密码字典 :param base_words: 基础词汇列表如[admin, root, company] :param suffixes: 后缀列表如[123, !#, 2023, ] :param prefixes: 前缀列表可选如[, a, top] :return: 生成的密码列表 if prefixes is None: prefixes [] passwords set() # 用集合去重 for base in base_words: for prefix in prefixes: for suffix in suffixes: # 简单拼接 passwords.add(prefix base suffix) # 首字母大写 passwords.add(prefix base.capitalize() suffix) # 全大写 passwords.add(prefix base.upper() suffix) return list(passwords) # 示例用法 base [admin, test] suffixes [, 123, !#, 2024] custom_dict generate_password_rules(base, suffixes) print(f生成了 {len(custom_dict)} 个密码样例: {custom_dict[:10]}...)将生成的字典与基础字典合并就得到了一份针对性更强的扫描字典能显著提高在特定环境下的命中效率。3. 从攻击到防御自动化密码策略检查与强制加固扫描出弱口令只是第一步如何有效修复才是关键。手动通知用户修改效率低且用户可能敷衍了事改成另一个弱密码比如从“123456”改成“654321”。因此我们需要向“自动化加固”迈进。3.1 密码强度校验引擎加固的前提是能准确判断一个密码是否“强”。我们不能只依赖“是否在弱口令字典里”这种简单判断。一个健壮的密码策略通常包括最小长度如至少12位字符复杂度必须包含大写字母、小写字母、数字、特殊符号中的至少3类禁止常见模式如连续数字“123”、连续字母“abc”、键盘相邻键“qwerty”禁止与用户名、邮箱等个人信息相似密码历史检查禁止与前N次密码相同我们可以用Python的re正则表达式和逻辑判断来实现一个强度校验器。import re import itertools class PasswordPolicyChecker: def __init__(self, min_length12, min_classes3, history_count5): self.min_length min_length self.min_classes min_classes self.history_count history_count # 定义字符类别 self.class_patterns { lower: r[a-z], upper: r[A-Z], digit: r[0-9], special: r[!#$%^*()_\-\[\]{};\:\\|,./?~] # 根据实际策略调整 } # 定义常见弱模式可扩展 self.weak_patterns [ r^123456$, r^password$, r^qwerty$, r^admin$, # 具体单词 r(.)\1{2,}, # 连续三个相同字符如aaa r(012|123|234|345|456|567|678|789|890), # 连续数字 r(abc|bcd|cde|def|efg|fgh|ghi|hij|ijk|jkl|klm|lmn|mno|nop|opq|pqr|qrs|rst|stu|tuv|uvw|vwx|wxy|xyz), # 连续字母 r(qwer|asdf|zxcv), # 键盘连续键 ] def check_strength(self, password, usernameNone, emailNone, history[]): 检查密码强度 :param password: 待检查密码 :param username: 关联用户名用于检查相似性 :param email: 关联邮箱 :param history: 历史密码列表 :return: (是否通过, [失败原因列表]) failures [] # 1. 长度检查 if len(password) self.min_length: failures.append(f密码长度不足{self.min_length}位) # 2. 复杂度类别检查 class_count 0 for class_name, pattern in self.class_patterns.items(): if re.search(pattern, password): class_count 1 if class_count self.min_classes: failures.append(f密码需包含至少{self.min_classes}种字符类型大小写字母、数字、特殊符号) # 3. 弱模式检查 for pattern in self.weak_patterns: if re.search(pattern, password, re.IGNORECASE): failures.append(密码包含常见弱模式或连续字符) break # 找到一个即可 # 4. 与个人信息相似性检查简单示例 if username and username.lower() in password.lower(): failures.append(密码不应包含用户名) if email: local_part email.split()[0] if local_part.lower() in password.lower(): failures.append(密码不应包含邮箱本地部分) # 5. 历史密码检查 if password in history[-self.history_count:]: failures.append(密码与近期使用过的密码重复) return (len(failures) 0, failures) # 测试 checker PasswordPolicyChecker(min_length8, min_classes3) test_passwords [123456, Admin123, MyPssw0rd2024!, abcABC123] for pwd in test_passwords: ok, reasons checker.check_strength(pwd, usernameadmin) print(f密码 {pwd}: {通过 if ok else 失败} - {reasons})这个检查器提供了可配置的策略并能给出具体的失败原因这对于后续给用户反馈非常重要。3.2 自动化加固流程设计自动化加固的核心思想是将扫描结果与用户账户管理系统联动。在理想的企业环境中可以通过以下步骤实现半自动或全自动加固结果关联将扫描到的弱口令账户与公司的LDAP/AD活动目录或IAM身份访问管理系统进行关联获取账户的详细信息如邮箱、部门、责任人。风险定级与通知根据账户的权限级别普通用户、管理员、域管理员对风险进行定级。高权限账户的弱口令需要立即处理。自动化处置方案A强制重置对于非核心应用的服务账户、测试账户等可以通过脚本调用系统API如Linux的chpasswd命令Windows的PowerShellSet-ADAccountPassword强制将其密码重置为一个符合强策略的随机密码并将新密码通过安全渠道如加密邮件、内部密码管理器发送给指定管理员。方案B强制下次登录修改对于员工账户更合适的做法是标记“用户下次登录时必须更改密码”。在AD中这对应设置pwdLastSet属性为0。这既保证了安全又尊重了用户的密码自主权。方案C告警与工单对于无法自动处理的系统生成安全告警并自动创建IT工单指派给相应的系统管理员并跟踪闭环。下面是一个模拟“强制下次登录修改”的Python函数示例以Linux系统本地用户为例实际生产环境需连接AD/LDAP APIimport subprocess import logging def force_password_change_at_next_login(username): 强制指定用户下次登录时修改密码Linux系统示例 使用 usermod -e YYYY-MM-DD 命令可以设置账户过期时间但更常见的做法是使用chage或passwd 这里使用passwd --expire try: # 方法1使用passwd命令使密码过期 result subprocess.run([sudo, passwd, --expire, username], capture_outputTrue, textTrue, timeout10) if result.returncode 0: logger.info(f已成功设置用户 {username} 下次登录必须修改密码。) return True else: logger.error(f设置用户 {username} 密码过期失败: {result.stderr}) return False except subprocess.TimeoutExpired: logger.error(f设置用户 {username} 密码过期命令超时。) return False except Exception as e: logger.error(f执行命令时发生未知错误: {e}) return False # 注意此操作通常需要root或sudo权限。在脚本中处理权限需要格外小心。重要警告自动化加固操作具有高风险务必先在隔离的测试环境中充分验证。强制重置高权限账户密码可能导致服务中断。对于生产系统建议优先采用“方案C告警与工单”由人工审核后处理或者仅在明确的变更窗口期执行“方案B”。3.3 生成强密码并安全分发无论是强制重置还是用户自主修改都需要为用户提供符合策略的强密码。直接生成随机字符串是最佳实践。import secrets import string def generate_strong_password(length16): 生成符合强策略的随机密码 保证至少包含大写字母、小写字母、数字、特殊符号各一个 if length 4: raise ValueError(密码长度至少为4以满足包含四类字符) # 定义字符集 lowercase string.ascii_lowercase uppercase string.ascii_uppercase digits string.digits # 特殊符号排除容易混淆的字符如Il0O| specials !#$%^*()_-[]{};:,.?~ # 确保每类至少一个 password_chars [ secrets.choice(lowercase), secrets.choice(uppercase), secrets.choice(digits), secrets.choice(specials) ] # 填充剩余长度 all_chars lowercase uppercase digits specials password_chars [secrets.choice(all_chars) for _ in range(length - 4)] # 打乱顺序 secrets.SystemRandom().shuffle(password_chars) return .join(password_chars) # 生成并检查 new_pwd generate_strong_password(12) print(f生成的强密码: {new_pwd}) ok, reasons checker.check_strength(new_pwd) print(f自检结果: {通过 if ok else 失败} - {reasons})生成密码后如何安全分发是另一个关键。绝对不要通过明文邮件或即时通讯工具发送可行的方式包括将密码加密后通过邮件发送一个一次性查看链接链接有效期为几分钟。将密码存入企业级密码管理器如Bitwarden、1Password并邀请用户加入对应的共享项目。对于服务器账户使用SSH证书认证替代密码从根本上解决问题。4. 实战演练构建端到端的自动化弱口令治理流水线现在我们把扫描、检查、加固的模块串联起来形成一个完整的、可周期性运行的自动化流水线。这个流水线可以作为一个定时任务如Cron Job或Jenkins Pipeline运行。4.1 流水线架构与工作流整个流水线的工作流设计如下资产发现与输入提供目标IP/域名列表。可以从CMDB配置管理数据库自动同步或从扫描结果如Nmap扫描导入。弱口令扫描阶段加载目标列表。加载或动态生成用户名/密码字典。针对不同协议SSH, MySQL, Redis等调用对应的扫描模块。控制并发和延迟避免对业务造成影响。输出结构化的扫描结果报告JSON格式。风险分析与关联阶段读取扫描结果。调用企业目录服务API将发现的弱口令账户关联到具体员工或系统负责人。根据账户权限、所属系统重要性进行风险评分如高危-域管理员弱口令中危-数据库应用账户弱口令低危-测试服务器弱口令。处置执行阶段高危风险自动创建最高优先级工单并邮件/短信通知安全负责人和系统管理员。可考虑自动执行“强制密码过期”操作。中危风险自动创建普通工单并邮件通知系统负责人要求限期整改。低危风险记录日志并生成周报汇总。报告与可视化阶段生成HTML或PDF格式的详细报告包含风险统计、TOP弱口令、整改建议等。将关键指标如弱口令主机数、高风险账户数推送至监控大屏或SIEM安全信息与事件管理系统。4.2 核心调度脚本示例下面是一个简化的主调度脚本框架展示了如何组织这些模块#!/usr/bin/env python3 弱口令自动化治理流水线主脚本 import json import logging from datetime import datetime from scanners.ssh_scanner import SSHScanner # 假设扫描器模块化存放 from policy.checker import PasswordPolicyChecker from actions.notifier import send_alert, create_ticket from actions.reporter import generate_html_report # 配置 CONFIG { targets_file: assets/targets.txt, username_dict: dicts/common_usernames.txt, password_dict: dicts/top_weak_passwords.txt, output_dir: reports/, max_workers: 15, delay: (2, 5) } def load_targets(filepath): 从文件加载目标 with open(filepath, r) as f: return [line.strip() for line in f if line.strip() and not line.startswith(#)] def load_dict(filepath): 从文件加载字典 with open(filepath, r) as f: return [line.strip() for line in f if line.strip()] def main(): logging.basicConfig(levellogging.INFO, format%(asctime)s - %(name)s - %(levelname)s - %(message)s) logger logging.getLogger(Pipeline) start_time datetime.now() # 1. 准备阶段 logger.info( 弱口令治理流水线开始执行 ) targets load_targets(CONFIG[targets_file]) usernames load_dict(CONFIG[username_dict]) passwords load_dict(CONFIG[password_dict]) logger.info(f加载了 {len(targets)} 个目标 {len(usernames)} 个用户名 {len(passwords)} 个密码。) # 2. 扫描阶段 logger.info(开始SSH弱口令扫描...) ssh_scanner SSHScanner( hoststargets, username_listusernames, password_listpasswords, max_workersCONFIG[max_workers], delayCONFIG[delay] ) ssh_results ssh_scanner.scan() # 这里可以类似地调用MySQLScanner, RedisScanner等 all_results ssh_results # 合并其他协议结果 # 3. 分析与关联阶段 (简化版) high_risk [] medium_risk [] for result in all_results: # 假设我们有一个函数能根据主机IP和用户名查询CMDB获取负责人和权限级别 # owner, criticality query_cmdb(result[host], result[username]) # 此处模拟 if result[username] in [root, administrator]: result[risk] 高危 result[owner] sysadmin-teamcompany.com high_risk.append(result) else: result[risk] 中危 result[owner] app-ownercompany.com medium_risk.append(result) # 4. 处置阶段 logger.info(f发现高危风险 {len(high_risk)} 个中危风险 {len(medium_risk)} 个。) for item in high_risk: logger.critical(f高危告警: {item[host]} - 用户 {item[username]} 使用弱口令 {item[password]}) # 自动创建紧急工单 ticket_id create_ticket(item, priorityP1) # 发送即时告警 send_alert(f发现高危弱口令账户工单号: {ticket_id}, receivers[security-teamcompany.com, item[owner]]) # 可选执行强制密码过期需谨慎评估 # if auto_remediation_enabled: # force_password_change_at_next_login(item[username]) for item in medium_risk: logger.warning(f中危告警: {item[host]} - 用户 {item[username]}) ticket_id create_ticket(item, priorityP3) send_alert(f发现中危弱口令账户请及时处理。工单号: {ticket_id}, receivers[item[owner]]) # 5. 报告阶段 report_data { scan_time: start_time.isoformat(), duration: (datetime.now() - start_time).total_seconds(), targets_scanned: len(targets), high_risk_findings: high_risk, medium_risk_findings: medium_risk, summary: { total_weak_passwords: len(all_results), high_risk_count: len(high_risk), medium_risk_count: len(medium_risk) } } report_path generate_html_report(report_data, CONFIG[output_dir]) logger.info(f扫描报告已生成: {report_path}) logger.info( 流水线执行结束 ) if __name__ __main__: main()这个脚本勾勒出了一个自动化流水线的骨架。在实际部署中你需要填充query_cmdb,create_ticket,send_alert等函数的具体实现它们需要与你企业内部的实际系统如Jira、ServiceNow、邮件网关、CMDB API进行集成。4.3 部署与调度实践将这套脚本部署到一台具有网络访问权限的“安全运维服务器”上。建议采用以下实践权限最小化运行脚本的账户只拥有执行扫描和调用必要API的权限而非root权限。配置分离将目标列表、字典路径、API密钥等敏感配置放在外部配置文件如config.yaml或环境变量中不要硬编码在脚本里。定时任务使用crontab(Linux) 或计划任务(Windows) 来定期执行例如每周日凌晨2点。确保日志被妥善记录和轮转。网络隔离考虑扫描行为可能触发IDS/IPS告警。最好事先与网络和安全团队沟通将扫描源IP加入白名单或者安排在维护窗口进行。合规性务必在行动前获得明确的书面授权。即使是内部系统未经授权的扫描也可能违反公司政策或相关法律法规。5. 避坑指南与进阶思考在实际操作中我踩过不少坑也总结出一些让方案更稳健、更有效的经验。5.1 常见问题与解决方案速查表问题现象可能原因解决方案与排查思路扫描速度极慢或大量超时1. 目标网络延迟高或防火墙限制。2. 并发数过高目标系统拒绝连接。3. 字典过大任务队列堆积。1. 调整timeout参数如从5秒增至10秒。2. 大幅降低max_workers如从50降至5并增加delay范围如(3,8)秒。3. 优化字典先用小型“Top100”字典快速试探。扫描中途脚本崩溃进度丢失网络波动、异常未捕获、内存不足。1. 为每个扫描任务添加更全面的异常捕获try...except。2. 实现断点续传功能。将任务队列和已完成的任务ID持久化到文件或数据库每次启动时加载并跳过已完成的。触发目标系统账户锁定策略针对同一用户连续进行多次失败认证。1.打乱扫描顺序不要按顺序“用户名-密码”遍历而是先遍历用户名对每个用户名只尝试最可能的几个密码或者随机化尝试顺序。2.识别锁定机制如果收到特定错误如“Account locked”应立即停止对该用户的尝试并记录告警。误报成功连接但并非真正弱口令某些服务如Redis配置为空密码或默认密码但实际有网络层ACL限制。1.二次验证对于扫描成功的服务尝试执行一个无害的、低权限的命令来确认访问有效性如SSH执行whoamiRedis执行INFO。2.结合上下文将扫描结果与端口扫描、服务识别结果结合判断。自动化加固导致服务中断强制修改了正在运行的关键服务进程所使用的账户密码。1.建立服务账户清单识别出哪些账户是用于应用、数据库连接的服务账户对这些账户的密码修改必须配合应用重启需安排变更窗口。2.实施前备份在强制修改前如果可能先备份旧的密码哈希在某些系统中以便快速回滚。生成的强密码用户难以记忆完全随机的密码不便于某些必须人工输入的场景。提供可读密码生成选项使用xkcd风格如correct-horse-battery-staple或由几个随机单词组成的密码并通过策略检查其强度。5.2 从“治标”到“治本”的进阶思考自动化扫描和加固是“治标”的利器但要真正解决弱口令问题需要“治本”的体系化建设推行密码管理器鼓励甚至强制员工使用企业密码管理器如Bitwarden, 1Password Business。密码管理器可以生成、保存和自动填充复杂密码用户只需记住一个主密码。这是降低弱口令率最有效的手段之一。实施多因素认证MFA在关键系统VPN、云控制台、重要后台上强制启用MFA。即使密码被破解攻击者没有第二因素如手机验证码、硬件令牌也无法登录。这能将风险降到最低。转向无密码化或证书认证对于服务器访问SSH密钥对认证远比密码认证安全。对于内部系统可以探索单点登录SSO和基于证书的认证彻底摆脱对静态密码的依赖。持续的安全意识教育自动化工具可以发现和修复问题但无法改变人的习惯。定期进行钓鱼演练、分享安全事件案例、培训强密码的重要性是构建安全文化的基石。可以定期将本流水线发现的“弱口令TOP10”匿名化后在内部分享起到警示作用。集成到DevSecOps流程将弱口令检查作为CI/CD流水线的一环。在镜像构建或应用部署时自动检查其中包含的配置文件、环境变量是否含有硬编码的弱口令实现“安全左移”。这套从自动化攻防演练到自动化加固的方案不仅是一个技术脚本的集合更是一个完整的安全运营思路。它将被动的响应转变为主动的发现和持续的治理。技术实现上Python给了我们足够的灵活性而真正的挑战往往在于与企业现有流程、工具和人的协同。
Python自动化弱口令治理:从扫描到加固的完整安全闭环
发布时间:2026/6/30 2:14:08
1. 项目概述为什么“123456”依然是最大的安全漏洞每次看到安全报告里“123456”和“password”常年霸占最常用密码榜首我都觉得既好笑又无奈。作为一名在安全领域摸爬滚打多年的从业者我处理过太多因为弱口令引发的安全事件——从内部测试环境被轻易攻破到生产服务器被植入挖矿脚本甚至客户数据泄露。这些事故的起点往往就是一个简单到令人发指的密码。这个项目就是源于一次真实的内部攻防演练。我们团队模拟攻击者尝试对公司的测试服务器集群进行“友好”的渗透。结果呢不到半小时我们就通过一个公开的弱口令字典成功“拿下”了三台使用默认或简单密码的服务器。这件事给我们敲响了警钟安全意识培训年年做强密码策略年年讲但漏洞依然存在。问题的核心在于策略是静态的而人的行为是动态且容易松懈的。因此我决定动手写一套东西它不仅仅是一个检查工具更是一个完整的“弱口令治理”闭环方案。核心目标有两个第一自动化地发现系统中的弱口令风险用攻击者的视角给自己做体检第二自动化地推动加固不仅仅是报告问题更要能联动系统强制或引导将弱口令升级为强密码。整个方案将用Python实现因为它灵活、库丰富非常适合做这种自动化安全运维脚本。接下来我会带你完整走一遍从攻防演练到自动化加固的全过程分享其中所有的技术细节、踩过的坑和实战心得。2. 攻防演练核心弱口令扫描器的设计与实现真正的安全加固始于知己知彼。你不知道风险在哪就谈不上有效防护。攻防演练中的“攻”就是为了主动发现这些“彼”。我们首先要构建的就是一个高效、低调、可定制的弱口令扫描器。2.1 扫描器架构设计思路一个实用的扫描器不能只会“狂轰滥炸”那样极易触发安全设备的告警甚至可能因为频繁失败连接导致账户被锁。我的设计遵循以下几个原则协议支持模块化初期聚焦最常见的SSH、MySQL、Redis、FTP、Web表单登录等。每种协议独立一个模块便于扩展。字典管理智能化不仅要使用通用的弱口令字典还要能基于目标系统信息如公司名、产品名、日期生成定制化的字典提高命中率。并发控制与延时必须支持控制并发线程数并在每次尝试之间加入随机延时模拟真人操作规避风控。结果记录与断点续传扫描可能耗时很长需要详细记录日志并能从中断处恢复。规避检测机制考虑User-Agent轮换、代理IP池等基础反检测手段针对Web扫描。基于这些思路扫描器的核心流程可以设计为任务解析 - 字典加载 - 协议调度 - 并发尝试 - 结果记录。2.2 核心代码模块拆解我们以最经典的SSH弱口令扫描为例因为服务器SSH端口22暴露在公网的情况依然常见风险极高。首先需要安装必要的库paramiko(用于SSH连接)、concurrent.futures(用于线程池控制)。import paramiko import socket import logging from concurrent.futures import ThreadPoolExecutor, as_completed import time import random # 配置日志 logging.basicConfig(levellogging.INFO, format%(asctime)s - %(levelname)s - %(message)s) logger logging.getLogger(__name__)接下来是核心的SSH尝试函数。这里有个关键点paramiko的SSHClient在连接超时或认证失败时会抛出异常。我们需要捕获这些异常来判断结果。def try_ssh_login(host, port, username, password, timeout5): 尝试单次SSH登录 :param host: 目标主机 :param port: SSH端口 :param username: 用户名 :param password: 密码 :param timeout: 连接超时时间 :return: (是否成功, 耗时) 或 (False, 错误信息) ssh paramiko.SSHClient() ssh.set_missing_host_key_policy(paramiko.AutoAddPolicy()) # 自动接受未知主机密钥仅限测试环境 start_time time.time() try: ssh.connect(hostnamehost, portport, usernameusername, passwordpassword, timeouttimeout, banner_timeout10) end_time time.time() ssh.close() return True, round(end_time - start_time, 2) except paramiko.AuthenticationException: return False, 认证失败 except socket.timeout: return False, 连接超时 except Exception as e: return False, f其他错误: {str(e)}注意AutoAddPolicy()在生产环境扫描中非常危险它会将未知的主机密钥自动添加到本地known_hosts可能存在中间人攻击风险。在内部可控环境演练可以使用但对外扫描或严肃环境应使用WarningPolicy()或提前获取并验证主机密钥。有了单次尝试函数我们需要一个调度器来管理字典和并发。这里设计一个SSHScanner类class SSHScanner: def __init__(self, hosts, username_list, password_list, max_workers10, delay(1, 3)): 初始化扫描器 :param hosts: 目标主机列表可以是单个IP或域名 :param username_list: 用户名列表 :param password_list: 密码字典列表 :param max_workers: 最大并发线程数 :param delay: 每次尝试后的随机延迟范围秒例如(1,3)表示延迟1-3秒 self.hosts hosts if isinstance(hosts, list) else [hosts] self.username_list username_list self.password_list password_list self.max_workers max_workers self.delay_range delay self.results [] def scan(self): 执行扫描 tasks [] # 生成所有任务组合主机 x 用户名 x 密码 for host in self.hosts: for username in self.username_list: for password in self.password_list: tasks.append((host, username, password)) total_tasks len(tasks) logger.info(f开始扫描总任务数: {total_tasks}) with ThreadPoolExecutor(max_workersself.max_workers) as executor: future_to_task {executor.submit(self._try_login, task): task for task in tasks} for i, future in enumerate(as_completed(future_to_task), 1): host, username, password future_to_task[future] try: success, message future.result() if success: logger.critical(f[] 成功破解主机: {host}, 用户: {username}, 密码: {password}, 耗时: {message}s) self.results.append({ host: host, username: username, password: password, status: success, message: message }) else: # 失败日志可以调低级别避免刷屏 # logger.debug(f[-] 失败 {host} - {username}:{password} - {message}) pass except Exception as e: logger.error(f任务执行异常: {e}) # 进度提示 if i % 100 0: logger.info(f扫描进度: {i}/{total_tasks}) logger.info(扫描结束。) return self.results def _try_login(self, task): 包装登录尝试加入延迟 host, username, password task # 随机延迟避免触发风控 time.sleep(random.uniform(*self.delay_range)) return try_ssh_login(host, 22, username, password)2.3 弱口令字典的“艺术”扫描器的威力一半在于字典。一个“好”的字典绝不是简单地从网上下载一个几十GB的“超级字典”。那样效率极低噪音极大。我的经验是分层构建基础字典包含“123456”、“admin”、“password123”、“公司名2023”等全球及企业内常见的弱口令。这个字典要小通常几百到几千条用于快速扫描。规则生成字典根据收集到的信息动态生成。例如如果知道目标公司叫“ABC科技”成立年份是2010年常见用户名是“admin”、“root”、“test”。那么可以生成ABC2010,ABC2010,ABCtech,abc123admin2010,rootABC,test!#常见变形大小写转换、后缀加!、、123、!#等。 这可以用Python的itertools和字符串处理轻松实现。针对性字典如果通过信息收集拿到了部分员工邮箱、姓名拼音可以生成姓名拼音生日等组合的字典。在代码中我们可以这样实现一个简单的规则生成器import itertools def generate_password_rules(base_words, suffixes, prefixesNone): 基于规则生成密码字典 :param base_words: 基础词汇列表如[admin, root, company] :param suffixes: 后缀列表如[123, !#, 2023, ] :param prefixes: 前缀列表可选如[, a, top] :return: 生成的密码列表 if prefixes is None: prefixes [] passwords set() # 用集合去重 for base in base_words: for prefix in prefixes: for suffix in suffixes: # 简单拼接 passwords.add(prefix base suffix) # 首字母大写 passwords.add(prefix base.capitalize() suffix) # 全大写 passwords.add(prefix base.upper() suffix) return list(passwords) # 示例用法 base [admin, test] suffixes [, 123, !#, 2024] custom_dict generate_password_rules(base, suffixes) print(f生成了 {len(custom_dict)} 个密码样例: {custom_dict[:10]}...)将生成的字典与基础字典合并就得到了一份针对性更强的扫描字典能显著提高在特定环境下的命中效率。3. 从攻击到防御自动化密码策略检查与强制加固扫描出弱口令只是第一步如何有效修复才是关键。手动通知用户修改效率低且用户可能敷衍了事改成另一个弱密码比如从“123456”改成“654321”。因此我们需要向“自动化加固”迈进。3.1 密码强度校验引擎加固的前提是能准确判断一个密码是否“强”。我们不能只依赖“是否在弱口令字典里”这种简单判断。一个健壮的密码策略通常包括最小长度如至少12位字符复杂度必须包含大写字母、小写字母、数字、特殊符号中的至少3类禁止常见模式如连续数字“123”、连续字母“abc”、键盘相邻键“qwerty”禁止与用户名、邮箱等个人信息相似密码历史检查禁止与前N次密码相同我们可以用Python的re正则表达式和逻辑判断来实现一个强度校验器。import re import itertools class PasswordPolicyChecker: def __init__(self, min_length12, min_classes3, history_count5): self.min_length min_length self.min_classes min_classes self.history_count history_count # 定义字符类别 self.class_patterns { lower: r[a-z], upper: r[A-Z], digit: r[0-9], special: r[!#$%^*()_\-\[\]{};\:\\|,./?~] # 根据实际策略调整 } # 定义常见弱模式可扩展 self.weak_patterns [ r^123456$, r^password$, r^qwerty$, r^admin$, # 具体单词 r(.)\1{2,}, # 连续三个相同字符如aaa r(012|123|234|345|456|567|678|789|890), # 连续数字 r(abc|bcd|cde|def|efg|fgh|ghi|hij|ijk|jkl|klm|lmn|mno|nop|opq|pqr|qrs|rst|stu|tuv|uvw|vwx|wxy|xyz), # 连续字母 r(qwer|asdf|zxcv), # 键盘连续键 ] def check_strength(self, password, usernameNone, emailNone, history[]): 检查密码强度 :param password: 待检查密码 :param username: 关联用户名用于检查相似性 :param email: 关联邮箱 :param history: 历史密码列表 :return: (是否通过, [失败原因列表]) failures [] # 1. 长度检查 if len(password) self.min_length: failures.append(f密码长度不足{self.min_length}位) # 2. 复杂度类别检查 class_count 0 for class_name, pattern in self.class_patterns.items(): if re.search(pattern, password): class_count 1 if class_count self.min_classes: failures.append(f密码需包含至少{self.min_classes}种字符类型大小写字母、数字、特殊符号) # 3. 弱模式检查 for pattern in self.weak_patterns: if re.search(pattern, password, re.IGNORECASE): failures.append(密码包含常见弱模式或连续字符) break # 找到一个即可 # 4. 与个人信息相似性检查简单示例 if username and username.lower() in password.lower(): failures.append(密码不应包含用户名) if email: local_part email.split()[0] if local_part.lower() in password.lower(): failures.append(密码不应包含邮箱本地部分) # 5. 历史密码检查 if password in history[-self.history_count:]: failures.append(密码与近期使用过的密码重复) return (len(failures) 0, failures) # 测试 checker PasswordPolicyChecker(min_length8, min_classes3) test_passwords [123456, Admin123, MyPssw0rd2024!, abcABC123] for pwd in test_passwords: ok, reasons checker.check_strength(pwd, usernameadmin) print(f密码 {pwd}: {通过 if ok else 失败} - {reasons})这个检查器提供了可配置的策略并能给出具体的失败原因这对于后续给用户反馈非常重要。3.2 自动化加固流程设计自动化加固的核心思想是将扫描结果与用户账户管理系统联动。在理想的企业环境中可以通过以下步骤实现半自动或全自动加固结果关联将扫描到的弱口令账户与公司的LDAP/AD活动目录或IAM身份访问管理系统进行关联获取账户的详细信息如邮箱、部门、责任人。风险定级与通知根据账户的权限级别普通用户、管理员、域管理员对风险进行定级。高权限账户的弱口令需要立即处理。自动化处置方案A强制重置对于非核心应用的服务账户、测试账户等可以通过脚本调用系统API如Linux的chpasswd命令Windows的PowerShellSet-ADAccountPassword强制将其密码重置为一个符合强策略的随机密码并将新密码通过安全渠道如加密邮件、内部密码管理器发送给指定管理员。方案B强制下次登录修改对于员工账户更合适的做法是标记“用户下次登录时必须更改密码”。在AD中这对应设置pwdLastSet属性为0。这既保证了安全又尊重了用户的密码自主权。方案C告警与工单对于无法自动处理的系统生成安全告警并自动创建IT工单指派给相应的系统管理员并跟踪闭环。下面是一个模拟“强制下次登录修改”的Python函数示例以Linux系统本地用户为例实际生产环境需连接AD/LDAP APIimport subprocess import logging def force_password_change_at_next_login(username): 强制指定用户下次登录时修改密码Linux系统示例 使用 usermod -e YYYY-MM-DD 命令可以设置账户过期时间但更常见的做法是使用chage或passwd 这里使用passwd --expire try: # 方法1使用passwd命令使密码过期 result subprocess.run([sudo, passwd, --expire, username], capture_outputTrue, textTrue, timeout10) if result.returncode 0: logger.info(f已成功设置用户 {username} 下次登录必须修改密码。) return True else: logger.error(f设置用户 {username} 密码过期失败: {result.stderr}) return False except subprocess.TimeoutExpired: logger.error(f设置用户 {username} 密码过期命令超时。) return False except Exception as e: logger.error(f执行命令时发生未知错误: {e}) return False # 注意此操作通常需要root或sudo权限。在脚本中处理权限需要格外小心。重要警告自动化加固操作具有高风险务必先在隔离的测试环境中充分验证。强制重置高权限账户密码可能导致服务中断。对于生产系统建议优先采用“方案C告警与工单”由人工审核后处理或者仅在明确的变更窗口期执行“方案B”。3.3 生成强密码并安全分发无论是强制重置还是用户自主修改都需要为用户提供符合策略的强密码。直接生成随机字符串是最佳实践。import secrets import string def generate_strong_password(length16): 生成符合强策略的随机密码 保证至少包含大写字母、小写字母、数字、特殊符号各一个 if length 4: raise ValueError(密码长度至少为4以满足包含四类字符) # 定义字符集 lowercase string.ascii_lowercase uppercase string.ascii_uppercase digits string.digits # 特殊符号排除容易混淆的字符如Il0O| specials !#$%^*()_-[]{};:,.?~ # 确保每类至少一个 password_chars [ secrets.choice(lowercase), secrets.choice(uppercase), secrets.choice(digits), secrets.choice(specials) ] # 填充剩余长度 all_chars lowercase uppercase digits specials password_chars [secrets.choice(all_chars) for _ in range(length - 4)] # 打乱顺序 secrets.SystemRandom().shuffle(password_chars) return .join(password_chars) # 生成并检查 new_pwd generate_strong_password(12) print(f生成的强密码: {new_pwd}) ok, reasons checker.check_strength(new_pwd) print(f自检结果: {通过 if ok else 失败} - {reasons})生成密码后如何安全分发是另一个关键。绝对不要通过明文邮件或即时通讯工具发送可行的方式包括将密码加密后通过邮件发送一个一次性查看链接链接有效期为几分钟。将密码存入企业级密码管理器如Bitwarden、1Password并邀请用户加入对应的共享项目。对于服务器账户使用SSH证书认证替代密码从根本上解决问题。4. 实战演练构建端到端的自动化弱口令治理流水线现在我们把扫描、检查、加固的模块串联起来形成一个完整的、可周期性运行的自动化流水线。这个流水线可以作为一个定时任务如Cron Job或Jenkins Pipeline运行。4.1 流水线架构与工作流整个流水线的工作流设计如下资产发现与输入提供目标IP/域名列表。可以从CMDB配置管理数据库自动同步或从扫描结果如Nmap扫描导入。弱口令扫描阶段加载目标列表。加载或动态生成用户名/密码字典。针对不同协议SSH, MySQL, Redis等调用对应的扫描模块。控制并发和延迟避免对业务造成影响。输出结构化的扫描结果报告JSON格式。风险分析与关联阶段读取扫描结果。调用企业目录服务API将发现的弱口令账户关联到具体员工或系统负责人。根据账户权限、所属系统重要性进行风险评分如高危-域管理员弱口令中危-数据库应用账户弱口令低危-测试服务器弱口令。处置执行阶段高危风险自动创建最高优先级工单并邮件/短信通知安全负责人和系统管理员。可考虑自动执行“强制密码过期”操作。中危风险自动创建普通工单并邮件通知系统负责人要求限期整改。低危风险记录日志并生成周报汇总。报告与可视化阶段生成HTML或PDF格式的详细报告包含风险统计、TOP弱口令、整改建议等。将关键指标如弱口令主机数、高风险账户数推送至监控大屏或SIEM安全信息与事件管理系统。4.2 核心调度脚本示例下面是一个简化的主调度脚本框架展示了如何组织这些模块#!/usr/bin/env python3 弱口令自动化治理流水线主脚本 import json import logging from datetime import datetime from scanners.ssh_scanner import SSHScanner # 假设扫描器模块化存放 from policy.checker import PasswordPolicyChecker from actions.notifier import send_alert, create_ticket from actions.reporter import generate_html_report # 配置 CONFIG { targets_file: assets/targets.txt, username_dict: dicts/common_usernames.txt, password_dict: dicts/top_weak_passwords.txt, output_dir: reports/, max_workers: 15, delay: (2, 5) } def load_targets(filepath): 从文件加载目标 with open(filepath, r) as f: return [line.strip() for line in f if line.strip() and not line.startswith(#)] def load_dict(filepath): 从文件加载字典 with open(filepath, r) as f: return [line.strip() for line in f if line.strip()] def main(): logging.basicConfig(levellogging.INFO, format%(asctime)s - %(name)s - %(levelname)s - %(message)s) logger logging.getLogger(Pipeline) start_time datetime.now() # 1. 准备阶段 logger.info( 弱口令治理流水线开始执行 ) targets load_targets(CONFIG[targets_file]) usernames load_dict(CONFIG[username_dict]) passwords load_dict(CONFIG[password_dict]) logger.info(f加载了 {len(targets)} 个目标 {len(usernames)} 个用户名 {len(passwords)} 个密码。) # 2. 扫描阶段 logger.info(开始SSH弱口令扫描...) ssh_scanner SSHScanner( hoststargets, username_listusernames, password_listpasswords, max_workersCONFIG[max_workers], delayCONFIG[delay] ) ssh_results ssh_scanner.scan() # 这里可以类似地调用MySQLScanner, RedisScanner等 all_results ssh_results # 合并其他协议结果 # 3. 分析与关联阶段 (简化版) high_risk [] medium_risk [] for result in all_results: # 假设我们有一个函数能根据主机IP和用户名查询CMDB获取负责人和权限级别 # owner, criticality query_cmdb(result[host], result[username]) # 此处模拟 if result[username] in [root, administrator]: result[risk] 高危 result[owner] sysadmin-teamcompany.com high_risk.append(result) else: result[risk] 中危 result[owner] app-ownercompany.com medium_risk.append(result) # 4. 处置阶段 logger.info(f发现高危风险 {len(high_risk)} 个中危风险 {len(medium_risk)} 个。) for item in high_risk: logger.critical(f高危告警: {item[host]} - 用户 {item[username]} 使用弱口令 {item[password]}) # 自动创建紧急工单 ticket_id create_ticket(item, priorityP1) # 发送即时告警 send_alert(f发现高危弱口令账户工单号: {ticket_id}, receivers[security-teamcompany.com, item[owner]]) # 可选执行强制密码过期需谨慎评估 # if auto_remediation_enabled: # force_password_change_at_next_login(item[username]) for item in medium_risk: logger.warning(f中危告警: {item[host]} - 用户 {item[username]}) ticket_id create_ticket(item, priorityP3) send_alert(f发现中危弱口令账户请及时处理。工单号: {ticket_id}, receivers[item[owner]]) # 5. 报告阶段 report_data { scan_time: start_time.isoformat(), duration: (datetime.now() - start_time).total_seconds(), targets_scanned: len(targets), high_risk_findings: high_risk, medium_risk_findings: medium_risk, summary: { total_weak_passwords: len(all_results), high_risk_count: len(high_risk), medium_risk_count: len(medium_risk) } } report_path generate_html_report(report_data, CONFIG[output_dir]) logger.info(f扫描报告已生成: {report_path}) logger.info( 流水线执行结束 ) if __name__ __main__: main()这个脚本勾勒出了一个自动化流水线的骨架。在实际部署中你需要填充query_cmdb,create_ticket,send_alert等函数的具体实现它们需要与你企业内部的实际系统如Jira、ServiceNow、邮件网关、CMDB API进行集成。4.3 部署与调度实践将这套脚本部署到一台具有网络访问权限的“安全运维服务器”上。建议采用以下实践权限最小化运行脚本的账户只拥有执行扫描和调用必要API的权限而非root权限。配置分离将目标列表、字典路径、API密钥等敏感配置放在外部配置文件如config.yaml或环境变量中不要硬编码在脚本里。定时任务使用crontab(Linux) 或计划任务(Windows) 来定期执行例如每周日凌晨2点。确保日志被妥善记录和轮转。网络隔离考虑扫描行为可能触发IDS/IPS告警。最好事先与网络和安全团队沟通将扫描源IP加入白名单或者安排在维护窗口进行。合规性务必在行动前获得明确的书面授权。即使是内部系统未经授权的扫描也可能违反公司政策或相关法律法规。5. 避坑指南与进阶思考在实际操作中我踩过不少坑也总结出一些让方案更稳健、更有效的经验。5.1 常见问题与解决方案速查表问题现象可能原因解决方案与排查思路扫描速度极慢或大量超时1. 目标网络延迟高或防火墙限制。2. 并发数过高目标系统拒绝连接。3. 字典过大任务队列堆积。1. 调整timeout参数如从5秒增至10秒。2. 大幅降低max_workers如从50降至5并增加delay范围如(3,8)秒。3. 优化字典先用小型“Top100”字典快速试探。扫描中途脚本崩溃进度丢失网络波动、异常未捕获、内存不足。1. 为每个扫描任务添加更全面的异常捕获try...except。2. 实现断点续传功能。将任务队列和已完成的任务ID持久化到文件或数据库每次启动时加载并跳过已完成的。触发目标系统账户锁定策略针对同一用户连续进行多次失败认证。1.打乱扫描顺序不要按顺序“用户名-密码”遍历而是先遍历用户名对每个用户名只尝试最可能的几个密码或者随机化尝试顺序。2.识别锁定机制如果收到特定错误如“Account locked”应立即停止对该用户的尝试并记录告警。误报成功连接但并非真正弱口令某些服务如Redis配置为空密码或默认密码但实际有网络层ACL限制。1.二次验证对于扫描成功的服务尝试执行一个无害的、低权限的命令来确认访问有效性如SSH执行whoamiRedis执行INFO。2.结合上下文将扫描结果与端口扫描、服务识别结果结合判断。自动化加固导致服务中断强制修改了正在运行的关键服务进程所使用的账户密码。1.建立服务账户清单识别出哪些账户是用于应用、数据库连接的服务账户对这些账户的密码修改必须配合应用重启需安排变更窗口。2.实施前备份在强制修改前如果可能先备份旧的密码哈希在某些系统中以便快速回滚。生成的强密码用户难以记忆完全随机的密码不便于某些必须人工输入的场景。提供可读密码生成选项使用xkcd风格如correct-horse-battery-staple或由几个随机单词组成的密码并通过策略检查其强度。5.2 从“治标”到“治本”的进阶思考自动化扫描和加固是“治标”的利器但要真正解决弱口令问题需要“治本”的体系化建设推行密码管理器鼓励甚至强制员工使用企业密码管理器如Bitwarden, 1Password Business。密码管理器可以生成、保存和自动填充复杂密码用户只需记住一个主密码。这是降低弱口令率最有效的手段之一。实施多因素认证MFA在关键系统VPN、云控制台、重要后台上强制启用MFA。即使密码被破解攻击者没有第二因素如手机验证码、硬件令牌也无法登录。这能将风险降到最低。转向无密码化或证书认证对于服务器访问SSH密钥对认证远比密码认证安全。对于内部系统可以探索单点登录SSO和基于证书的认证彻底摆脱对静态密码的依赖。持续的安全意识教育自动化工具可以发现和修复问题但无法改变人的习惯。定期进行钓鱼演练、分享安全事件案例、培训强密码的重要性是构建安全文化的基石。可以定期将本流水线发现的“弱口令TOP10”匿名化后在内部分享起到警示作用。集成到DevSecOps流程将弱口令检查作为CI/CD流水线的一环。在镜像构建或应用部署时自动检查其中包含的配置文件、环境变量是否含有硬编码的弱口令实现“安全左移”。这套从自动化攻防演练到自动化加固的方案不仅是一个技术脚本的集合更是一个完整的安全运营思路。它将被动的响应转变为主动的发现和持续的治理。技术实现上Python给了我们足够的灵活性而真正的挑战往往在于与企业现有流程、工具和人的协同。
实现100%通过率](http://pic.xiahunao.cn/yaotu/华为OD机试2025C卷-字符串变换最小次数[100分]( Java _ Python3 _ C++ _ C语言 _ JsNode _ Go)实现100%通过率)
实现100%通过率](http://pic.xiahunao.cn/yaotu/华为OD机试2025C卷-内存资源分配[100分]( Java _ Python3 _ C++ _ C语言 _ JsNode _ Go)实现100%通过率)
