开发者社区> johnwong> 正文

扒一扒北邮的安全问题[4]-一大波访问控制问题

简介:
+关注继续查看

漏洞类型:

弱口令/无访问控制/代码备份

相关网站

内网多个ip

问题描述

文件、数据库、代码、phpMyAdmin等无法访问控制或者弱口令

漏洞详情

一票Web容器没做访问控制,同时给了列目录权限。这样就等于自己的各种资源分享给了所有人啊,这应该不是初衷吧。

//dn-johnwong.qbox.me/images/2014-04-02-security-in-bupt-04-01.png

然后还有一票phpMyAdmin没有访问控制,或者弱口令。据说拿到MySql的远程登录权限甚至能上传程序控制整个主机。

//dn-johnwong.qbox.me/images/2014-04-02-security-in-bupt-04-02.jpg

然后是使用默认密码的版本控制程序、惠普打印机、戴尔服务器、中兴4G LTE CPE设备、TP-LINK路由器。这个打印机还有Telnet功能,能远程打印。至于有没有打印出来不知道了。

//dn-johnwong.qbox.me/images/2014-04-02-security-in-bupt-04-03.png

//dn-johnwong.qbox.me/images/2014-04-02-security-in-bupt-04-04.png

//dn-johnwong.qbox.me/images/2014-04-02-security-in-bupt-04-05.png

//dn-johnwong.qbox.me/images/2014-04-02-security-in-bupt-04-06.png

//dn-johnwong.qbox.me/images/2014-04-02-security-in-bupt-04-07.png

最后是一个智慧油田系统。数据库没有使用弱口令,但是把源代码打包放到Web容器里,很容易从中找到数据库配置。管理员密码还是明文存储的。。。

//dn-johnwong.qbox.me/images/2014-04-02-security-in-bupt-04-08.png

总结一下:使用web容器最好不要给列目录的权限;不使用弱口令和默认密码;代码不要打包后放到容器中。 PS. 我尽量隐藏IP等细节了。如果不小心放出了请即使私信我。 

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
Docker 实战——部署 Nginx 镜像容器、Tomcat 镜像容器、MySQL 镜像容器
Docker 实战——部署 Nginx 镜像容器、Tomcat 镜像容器、MySQL 镜像容器
7 0
飞天计划体验有感
通过这几次的云计算实验,我觉得这个活动对我们大学生来说是非常有力的,而且通过阿里云的这个活动,我了解到了一些关于阿里云服务器的运用和很多知识。 通过使用云服务器做实验,我了解到了一些前端人员需要掌握的指示。而最让我感兴趣的是和云盘相关的内容,云盘的使用,可以使我们存储的空间更大、更安全,可以设密码,这就更提高了云盘的保密性,还是随时可卸载的,它的属性也可改。
7 0
Java从入门到精通十(java异常)
异常的引入 整理一下自己的思路,java为什么要引入异常处理机制?当然啊!因为程序运行可能会出错,在某一步骤出现问题,所以这个时候需要抛出异常,需要告诉用户是哪里是出现了问题。简单来说,这样说其实是没有问题的。但是还是没有进行严格的思考。程序运行中出现问题不一定就是异常所导致的(Exception),也有可能是错误(Error),不错,这是两个继承自Throwable类,但是其实在程序处理方面有很大的区别,所以我们区分看待。
7 0
MySQL下count(*)、count(1)和count(字段)的查询效率比较
COUNT(*)和COUNT(1)都是对所有结果进行计算。如果有WHERE子句,则是对所有符合筛选条件的数据行进行统计;如果没有WHERE子句,则是对数据表的数据行数进行统计。
9 0
超级详细的数据库中的事务机制学习笔记
事务的英文是transaction,从英文中你也能看出来它是进行一次处理的基本单元,要么完全执行,要么都不执行。 事务的特性:ACID……
7 0
一篇文章搞懂数据仓库:数据治理(目的、方法、流程)
一篇文章搞懂数据仓库:数据治理(目的、方法、流程)
4 0
mysql的学习笔记(阶段二)
- mysql函数,控制流函数 SELECT IF ( 5 > 3, "大于", "小于" );-- 5 >3 显示大于,否则就是小于 SELECT *, IF ( score >= 85, '优秀', '及格' ) flag FROM score;
6 0
【微信小程序开发小白零基础入门】微信小程序数据API【建议收藏】
文章目录 【微信小程序开发小白零基础入门】微信小程序数据API【建议收藏】一、 本地缓存二、 数据存储1. 异步数据存储2. 同步数据存储三、 数据获取1. 异步数据获取2. 同步数据获取四、 存储信息获取1. 异步数据获取2. 同步数据获取五、 数据删除1. 异步数据删除2. 同步数据删除六、 数据清空1. 异步数据清空2. 同步数据清空七、 推荐小程序(欢迎各位大佬指导)一、 本地缓存为了提高使用便捷性,同一个小程序允许每个用户单独存储10MB以内的数据在本地设备中,这些数据称为小程序的本地缓存。开发者可以通过数据缓存API对本地缓存进行设置、获取和清个小程序允许每个用户单独存储10MB以
5 0
从生活聊用消息队列的利弊
小豆跟心仪的开发部妹子,每天一起上下班,聊的很嗨。终于等到了情人节,然后小豆写了一封表白情书,没好意思直接送过,中间托二狗帮个忙送过去……
6 0
+关注
99
文章
0
问答
文章排行榜
最热
最新
相关电子书
更多
JS零基础入门教程(上册)
立即下载
性能优化方法论
立即下载
手把手学习日志服务SLS,云启实验室实战指南
立即下载