网址:http://yldhyc.youside.cn/Teacher/Index.aspx
漏洞描述:杨林东辉驾校教练平台存在弱口令,攻击者可直接登陆后台。
漏洞复现:
登陆界面直接输入即可
用户名: peiqi 密码: ' or ''='
弱口令修复建议:
1.使用至少6位的数字、字母及特殊字符组合作为密码。数据库不要存储明文密码,应存储加密后的密文。
2.通过配置拦截器过滤掉无效用户的连接请求。
3.自定义一个Exception,将异常信息包装起来不要抛到页面上
漏洞危害:
口令就相当于进入家门的钥匙,弱口令因为很容易被猜到或破解,所以,使用弱口令就相当于你把家门钥匙放在家门口的垫子下面,当他人有了一把可以进入你家的钥匙时,想想你的安全、你的财物、你的隐私会是多美危险。尤其具有本单位网站、信息系统管理操作权限的师生,弱口令可能会带来更严重的危害!
标签:漏洞,口令,密码,钥匙,驾校,东辉 From: https://www.cnblogs.com/wangwenzheng1/p/17445995.html