1. 云栖社区>
  2. 博客列表>
  3. 正文

扒一扒北邮的安全问题[4]-一大波访问控制问题

johnwong 2016-04-12 10:19:54 浏览362 评论0

摘要: 漏洞类型: 弱口令/无访问控制/代码备份 相关网站 内网多个ip 问题描述 文件、数据库、代码、phpMyAdmin等无法访问控制或者弱口令 漏洞详情 一票Web容器没做访问控制,同时给了列目录权限。

漏洞类型:

弱口令/无访问控制/代码备份

相关网站

内网多个ip

问题描述

文件、数据库、代码、phpMyAdmin等无法访问控制或者弱口令

漏洞详情

一票Web容器没做访问控制,同时给了列目录权限。这样就等于自己的各种资源分享给了所有人啊,这应该不是初衷吧。

//dn-johnwong.qbox.me/images/2014-04-02-security-in-bupt-04-01.png

然后还有一票phpMyAdmin没有访问控制,或者弱口令。据说拿到MySql的远程登录权限甚至能上传程序控制整个主机。

//dn-johnwong.qbox.me/images/2014-04-02-security-in-bupt-04-02.jpg

然后是使用默认密码的版本控制程序、惠普打印机、戴尔服务器、中兴4G LTE CPE设备、TP-LINK路由器。这个打印机还有Telnet功能,能远程打印。至于有没有打印出来不知道了。

//dn-johnwong.qbox.me/images/2014-04-02-security-in-bupt-04-03.png

//dn-johnwong.qbox.me/images/2014-04-02-security-in-bupt-04-04.png

//dn-johnwong.qbox.me/images/2014-04-02-security-in-bupt-04-05.png

//dn-johnwong.qbox.me/images/2014-04-02-security-in-bupt-04-06.png

//dn-johnwong.qbox.me/images/2014-04-02-security-in-bupt-04-07.png

最后是一个智慧油田系统。数据库没有使用弱口令,但是把源代码打包放到Web容器里,很容易从中找到数据库配置。管理员密码还是明文存储的。。。

//dn-johnwong.qbox.me/images/2014-04-02-security-in-bupt-04-08.png

总结一下:使用web容器最好不要给列目录的权限;不使用弱口令和默认密码;代码不要打包后放到容器中。 PS. 我尽量隐藏IP等细节了。如果不小心放出了请即使私信我。 

版权声明:本文内容由互联网用户自发贡献,本社区不拥有所有权,也不承担相关法律责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件至:yqgroup@service.aliyun.com 进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容。

用云栖社区APP,舒服~

【云栖快讯】哪个编程语言最热门?各个专业领域的技术趋势是什么?如何才能更快速的踏上技术进阶之路……云栖社区2017中国开发者大调查火热进行!答卷可抽奖,红轴机械键盘、天猫精灵,丰富好礼大概率抽取  详情请点击

网友评论

一个稳定可靠的集中式访问控制服务。您可以通过访问控制将阿里云资源的访问及管理权限分配给您的企业成员或合作伙伴。 更多>

CDN
是将源站内容分发至全国所有的节点,缩短用户查看对象的延迟,提高用户访问网站的响应速度与网站的可用性,解决网络带宽... 更多>

通过机器学习和数据建模发现潜在的入侵和攻击威胁,帮助客户建设自己的安全监控和防御体系,从而解决因网络攻击导致企业... 更多>

为您提供简单高效、处理能力可弹性伸缩的计算服务,帮助您快速构建更稳定、安全的应用,提升运维效率,降低 IT 成本... 更多>
安全技术百问

安全技术百问