互联网公司站点通病之弱口令

最新推荐文章于 2024-07-03 11:43:10 发布
最新推荐文章于 2024-07-03 11:43:10 发布
阅读量1.1k 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/h4ck0ne/article/details/50570758
版权

在补天平台经常看到@合肥滨湖虎子 这样的大牛刷通用,这些通用系统有开源的也有不开源的。但是像用友,shopex这些非开源系统做黑盒测试,会非常困难。作为新闻专业的学生我很好奇:这些大牛到底是通过什么方法审计到这些系统漏洞呢?为了一探究竟,我带上了肥皂,备好了菊花,找到了补天某通用大牛进行了一次面对面的采访(为保护大牛隐私,此处没有图片) 。最终找到深层次的原因,由于某些互联网公司站群及内网系统存在漏洞,导致被漫游,从而导致源码泄露,而这些互联网公司站点存在的最严重的漏洞当属弱口令。

拿用友举例,用友的系统非常多,在漏洞平台上也有很多大牛刷用友的系统挣零花钱。

在一个最新的漏洞报告中,详细列出了用友公司的产品系统源码是如何泄露的。

http://vip.ufida.com.cn/nccsm/HomePage.aspx

这是用友的一个废旧系统,存在多个弱口令 

这些账号的统一密码为123456,通过这个废旧系统,可以拿下shell并连接数据库,拿到整个公司员工的登录账号以及该系统的密码了。

   

最低0.47元/天 解锁文章
「已注销」
关注
1. Web安全—渗透测试用例—弱口令/空口令
weixin_43567873的博客
03-20 1543
1. Web安全—渗透测试用例—弱口令/空口令
举例说明一下常见的弱口令_常见网站入侵手段及防御方法
weixin_39523280的博客
11-27 1503
上传入侵上传入侵便是通过上传文件来获得权限,针对有上传文件权限的网站实施,好比论坛可以上传附件、资讯站可以投稿上传图片,这些都可能为上传木马提供便利,上传木马以后,很多信息都会轻松暴露出来的。这个漏洞在网站源码中比较常见,被黑客们利用的最为猖獗,利用上传漏洞可以直接得到WEBSHELL,危害等级超级高。防御方法:第三方开源代码要及时升级官方提供的程序补丁;注意对上传的文件进行限制,例如限制文件类型...
【Web安全弱口令漏洞学习总结_web弱口令
最新发布
weixin_57514792的博客
07-03 1297
【Web安全弱口令漏洞学习总结_web弱口令
【web漏洞】弱口令
热门推荐
qq_21193587的博客
06-04 4万+
弱口令 漏洞介绍 弱口令也是安全漏洞的一种,是指系统登录口令的设置强度不高,容易被攻击者猜到或 破解。造成弱口令的主要原因是系统的运维人员、管理人员安全意识不足。常见的弱口令形 式包括:系统出厂默认口令没有修改;密码设置过于简单,如口令长度不足,单一使用字母 或数字;使用了生日、姓名、电话号码、身份证号码等比较容易被攻击者猜到的信息设置口 令;设置的口令属于流行口令库中的流行口令。 漏洞危害 绝大多数企业有一定用户数,对安全密码复杂对没有安全基准或落实不到位,都会存在弱密码,会看似符合密码复杂度要求的密码,
韩国网站的一些弱口令
asli33的专栏
04-28 3030
<br />转自:http://www.0855.tv/post/kobz.htm<br /> <br /><br /> 账号一般为:域名和 admin,其他就要猜了,域名的概率为:10%,admin:30%。<br /><br /> 密码一般是:0000,这个很多,1111,这个更多,qweqwe,也很多,com!@#,这个要注意了,也有很多人用,123123,也有,!@#!@#,也有,comcom!@#。<br /><br /> 在列下:<br /> username0000<br /> us
渗透测试:常见产品弱口令速查
ML_Team的博客
11-01 463
大企业规模下的资产系统弱口令可谓是遍地都是,这是大企业的通病,也是很难管理的一点。最常见的攻击手法就是利用系统的弱口令登录到后台管理系统,然后从后台突破到服务器,接着拿下服务器的控制权限。下面是常见产品的弱口令速查表 回复弱口令获取速查表 默认密码在线查询站点 ## CIRT.net https://cirt.net/passwordshttps://cirt.net/passwords ## 默认密码列表 https://datarecovery.com/rd/def...
创维液晶彩电通病分析
01-20
1、创维55E780U(机芯:8K93),故障现象:蓝灯亮,按遥控器无反应。  分析检修:开机后测得主板无开机信号发出,且...此电容损坏为该型机通病。  创维液晶彩电通病分析  2、创维55E600Y(机芯:8S03),故障现象
钢结构质量通病及其防治措施.doc
08-27
然而,钢结构在加工、制造和安装过程中可能出现一系列质量问题,这些通病如果不妥善处理,将影响结构的安全性和耐久性。以下是一些常见的钢结构质量通病及其防治措施的详细解析: 1. 钢材表面卡具压痕或划痕损伤:...
桥梁伸缩缝和支座质量通病及防治.docx
02-28
《桥梁伸缩缝和支座质量通病及防治》 桥梁作为交通系统的重要组成部分,其安全性和耐久性直接影响到公路运输的效率和安全性。本文主要探讨了桥梁伸缩缝和支座在实际应用中常见的质量问题及其防治措施。 首先,伸缩...
弱口令——里面包含了国内最常用的口令
08-23
弱口令——里面包含了国内最常用的口令! 数字的、数字和字母结合的、字母的、相邻字母的、符号的都有! 大家可以下载用一下,绝对好玩! 亲测有效
webservice 密码弱口令漏洞病毒防御介绍
04-23
webservice 如果默认为弱口令,很可能被上传病毒文件,此文档较详细的介绍了病毒的特性和病毒的查杀和防御问题。
python文件扫描器,htpwdScan HTTP弱口令扫描器(python)
weixin_28972665的博客
03-26 286
optional arguments:-h, --help show this help message and exit-f REQUESTFILE Load HTTP request from file-https Set -https only when load request from file andHTTPS was ...
【web安全】Web应用隔离防护之Web弱口令爆破
HBohan的博客
10-18 3479
背景 近些年来,国内政府和企业网站被篡改的类似黑客攻击入侵事件频出,造成的社会影响及经济损失巨大,越来越多的企事业单位高度重视Web应用安全。 其中,黑客针对Web应用资产发起的弱口令攻击尤为常见。 即黑客通过已有的大量账号信息,快速批量验证能够访问目标Web资产的账号。这种攻击方式由于利用难度不大,且一旦获取到目标系统的弱口令,进入目标Web系统,可以扩大攻击者的攻击范围,被广为使用。 【学习资料】 常见的Web弱口令攻击场景 一类是为了获取目标应用的访问权限,对账号(如Admin、Root等)的密码进.
生成企业特色弱口令的脚本
jackslowf的博客
06-07 252
记录看到的一篇生成企业特色弱口令的脚本,十分简短, import itertools prefix = ['baidu', 'Baidu'] for x in [''.join(x) for x in list(itertools.product(prefix, ['@', ''], ['2019', '2020', '2018', '123', '1234', '123456'], ['!', '', '.']))] : print(x) 结果如下: baidu@2019! baidu@2019 ba
弱口令(Weak Password)总结和爆破工具
yy1715713348的博客
06-10 4303
网站管理、运营人员由于安全意识不足,为了方便、避免忘记密码等,使用了非常容易记住的密码,或者是直接采用了系统的默认密码等。攻击者利用此漏洞可直接进入应用系统或者管理系统,从而进行系统、网页、数据的篡改与删除,非法获取系统、用户的数据,甚至可能导致服务器沦陷。弱口令(weak password) 没有严格和准确的定义,通常认为容易被别人(他们有可能对你很了解)猜测到或被破解工具破解的口令均为弱口令
HTTP身份认证401不同情况下弱口令枚举方法及java代码实现
Javachichi的博客
12-19 1059
接下来ABC_123就搭建IIS测试环境,给大家分享一下相关经验,同时分享一下不同情况下弱口令枚举的关键Java代码实现,网上能用的java代码极少,甚至是搜索不到,ABC_123也是踩了一大堆的坑。使用burpsuite进行抓包发现,其加密方式就是普通的Base64加密,与大家最常见的Tomcat的后台登录加密方式是一样的,这种的太过常见,这里就不过多叙述。网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值