来源:自学PHP网 时间:2015-04-17 11:59 作者: 阅读:次
[导读] 目标:梦洁家纺第三方应用BI系统爆破理由:1、鉴于前面两条漏洞,说明密码强度不够;2、登录界面无验证码;3、暂未发现登录错误次数限制。登陆界面有两种登录方式:管理员和用户...
|
目标:梦洁家纺第三方应用—BI系统
爆破理由:
1、鉴于前面两条漏洞,说明密码强度不够;
2、登录界面无验证码;
3、暂未发现登录错误次数限制。
登陆界面有两种登录方式:管理员和用户(区别在于登录时是否勾选“管理员登录”)。
 打开burp,先尝试管理员登录(勾选“管理员登录”):
 分别挂上用户名和密码文件,不一会:
 先暂停爆破,去登陆界面登录试试,发现被禁用:
 无奈,继续尝试用户登录(不勾选“管理员登录”),过程同上一致,不一会:
 果断登录(居然还是个老总!!!):
 修复方案:
文中3点理由,至少得整改一条吧?
|
自学PHP网专注网站建设学习,PHP程序学习,平面设计学习,以及操作系统学习
京ICP备14009008号-1@版权所有www.zixuephp.com
网站声明:本站所有视频,教程都由网友上传,站长收集和分享给大家学习使用,如由牵扯版权问题请联系站长邮箱904561283@qq.com
