珍爱网两处运维不当导致攻击者可进内网拿数据库
通过御剑系统扫描网站访问权限,并依照状态码,可判断地址是否可达。进入其中可达的链接并发现相关漏洞
先是http://welove.zhenai.com//WEB-INF/web.xml
http://welove.zhenai.com/WEB-INF/spring.xml
下载相关文件
所有数据库配置都在里面了。
系统文件服务器并没有封锁权限,导致web直接可以访问,重要文件应当存方在web上级目录,或做权限处理。否则可直接获取。
写在后面:公众号会提供常见web攻击的方式,是在网络中真实存在的漏洞,大多数都已经修复,但都可以通过其中的过程了解攻击的思路和方式,让你们清楚网络攻击方式并不是特别的神秘,大多数高级的黑客,其实本质思路都是相同的,只不过他们会利用网络钓鱼,使用社会工程学来变相制造漏洞:比如使用钓鱼邮件,获取你重要的信息;制造一个同样的官方网站,你访问之后你的网站登录信息直接发送到攻击者电脑上,然后再使用session模拟的方式,不用账号密码就可以登上你的账户。
