通过对子网站的检测,发现系统中员工信息管理功能存在越权操作,用户可以在不经任何身份认证的情况下对集团员工信息进行访问
通过对该信息的收集,得到集团用户信息,虽然不知道是否为最新状态,但是破解emali弱口令应该是够了。
通过对弱口令的分析,得到部分账户,进入账户进行下一步的信息收集。
得到MCC系统登录信息
得到双鹤流量系统信息
得到其他系统信息
得到集团VPN以及测试环境信息
另外,在对SMS系统的测试过程中,发现由于这样的提示
这样,收集到的email弱口令可以用在该系统中。
得到MCC系统登录信息
得到双鹤流量系统信息
得到其他系统信息
得到集团VPN以及测试环境信息
修复方案:
消除系统敏感信息