-
-
58第三方合作商管理平台账号密码可暴力破解
-
发表于:
2013-11-26 13:45
715
-
47dK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4g2F1K9h3!0F1i4K6u0W2N6$3q4H3i4K6u0W2y4e0S2Q4x3X3g2U0L8$3#2Q4x3@1p5^5x3o6R3H3i4K6u0r3登录没有验证码且没做任何登录次数限制,使用bp+简单字典进行测试,跑出账号:amazon/123456 123456/123456 anji/123456
用户登录成功后左侧功能栏只有简单的数据统计查询功能,试试常见目录,发现存在table,template,databackup,city等,访问下
不仅能够成功访问并且具有数据备份、修改、删除、导出等内容平台管理权限,这个应该是管理员的权限,普通用户应该不可以吧,存在越权访问。
修复方案:
登录添加限制功能,修改简单密码,重新划分权限。
(责任编辑:网络) 本文章原创来自:
77bK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3S2S2j5$3D9$3i4K6u0W2j5$3!0E0 QQ:283422135 (转载请保留黑客网站版权。侵权必究)
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
