扒一扒北邮的安全问题[4]-一大波访问控制问题
本文共 433 字,大约阅读时间需要 1 分钟。
漏洞类型:
弱口令/无访问控制/代码备份
相关网站
内网多个ip
问题描述
文件、数据库、代码、phpMyAdmin等无法访问控制或者弱口令
漏洞详情
一票Web容器没做访问控制,同时给了列目录权限。这样就等于自己的各种资源分享给了所有人啊,这应该不是初衷吧。
然后还有一票phpMyAdmin没有访问控制,或者弱口令。据说拿到MySql的远程登录权限甚至能上传程序控制整个主机。
然后是使用默认密码的版本控制程序、惠普打印机、戴尔服务器、中兴4G LTE CPE设备、TP-LINK路由器。这个打印机还有Telnet功能,能远程打印。至于有没有打印出来不知道了。
最后是一个智慧油田系统。数据库没有使用弱口令,但是把源代码打包放到Web容器里,很容易从中找到数据库配置。管理员密码还是明文存储的。。。
总结一下:使用web容器最好不要给列目录的权限;不使用弱口令和默认密码;代码不要打包后放到容器中。 PS. 我尽量隐藏IP等细节了。如果不小心放出了请即使私信我。
转载地址:http://zlonl.baihongyu.com/
你可能感兴趣的文章
CAS单点登录教程
查看>>
原生app和web app的区别
查看>>
bower提交自己的类库
查看>>
hbase的预分配region
查看>>
Bananapi 系列开发板使用 3.7V锂电池供电工作
查看>>
C++编译问题:ERR2019 LNK 无法解析的外部符号
查看>>
HTML form表单的两种提交方式,submit和button的用法
查看>>
Git 鸡毛蒜皮
查看>>
快照制作虚拟机
查看>>
管理多个eclipse空间
查看>>
Swift - 使用CoreLocation实现定位(经纬度、海拔、速度、距离等)
查看>>
Netty 编码解码框架
查看>>
.NET程序员学PHP要注意的坑
查看>>
iphone 代码画按钮示例
查看>>
【转】REST and SOAP are not interchangable in hand
查看>>
cdh5基础环境
查看>>
Tomcat java.lang.UnsupportedClassVersionError 异常
查看>>
linux buff/cache 太多
查看>>
关于使用微信登录第三方APP的实现(Android版)
查看>>
Discuz! 数据类型错误,请返回 的解决方案
查看>>