网址:https://kefu.thankphp.com/NzpEZMBcyx.php/dashboard?ref=addtabs
漏洞描述:客服系统演示控制台(管理员权限),攻击者可直接登陆后台。
漏洞复现:
登陆界面直接输入即可
用户名:admin 密码:123456
弱口令修复建议:
1.使用至少6位的数字、字母及特殊字符组合作为密码。数据库不要存储明文密码,应存储加密后的密文。
2.通过配置拦截器过滤掉无效用户的连接请求。
3.自定义一个Exception,将异常信息包装起来不要抛到页面上
漏洞危害:
口令就相当于进入家门的钥匙,弱口令因为很容易被猜到或破解,所以,使用弱口令就相当于你把家门钥匙放在家门口的垫子下面,当他人有了一把可以进入你家的钥匙时,想想你的安全、你的财物、你的隐私会是多美危险。尤其具有本单位网站、信息系统管理操作权限的师生,弱口令可能会带来更严重的危害!
标签:演示,漏洞,客服,口令,密码,钥匙 From: https://www.cnblogs.com/wangwenzheng1/p/17445987.html