互联网公司站点通病之弱口令

在补天平台经常看到@合肥滨湖虎子 这样的大牛刷通用,这些通用系统有开源的也有不开源的。但是像用友,shopex这些非开源系统做黑盒测试,会非常困难。作为新闻专业的学生我很好奇:这些大牛到底是通过什么方法审计到这些系统漏洞呢?为了一探究竟,我带上了肥皂,备好了菊花,找到了补天某通用大牛进行了一次面对面的采访(为保护大牛隐私,此处没有图片) 。最终找到深层次的原因,由于某些互联网公司站群及内网系统存在漏洞,导致被漫游,从而导致源码泄露,而这些互联网公司站点存在的最严重的漏洞当属弱口令。

拿用友举例,用友的系统非常多,在漏洞平台上也有很多大牛刷用友的系统挣零花钱。

在一个最新的漏洞报告中,详细列出了用友公司的产品系统源码是如何泄露的。

http://vip.ufida.com.cn/nccsm/HomePage.aspx

这是用友的一个废旧系统,存在多个弱口令 

这些账号的统一密码为123456,通过这个废旧系统,可以拿下shell并连接数据库,拿到整个公司员工的登录账号以及该系统的密码了。

   

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值