来源:自学PHP网 时间:2015-04-15 15:00 作者: 阅读:次
[导读] IIS配置不当致使任意代码执行,旗下多站沦陷,上市公司大量采购、财务数据可查其实问题很简单1 WEB服务器扩展里设置WebDAV为允许2 网站权限配置里开启了写入权限http: iservice qiaqiafoo...
IIS配置不当致使任意代码执行,旗下多站沦陷,上市公司大量采购、财务数据可查 其实问题很简单
后缀的一句话(上传工具DAV explorer ),菜刀连接成功 打开web.config,找到数据库信息,连接数据库,裤子真不少,粗略的计算一下涵盖了洽洽集团旗下30多个WEB系统,部分系统,还有一些是内网的系统,包括众多的采购、财务、客户资料等信息,特别是OA系统中有许多这样的客户资料(详细到县一级的超市、商店),财务资料包括基本的购销存、差旅等 还有一些人事资料,满满的都是商业价值啊,这可是上市公司啊,OA系统内的短消息暴露的就更复杂了。。。 由于涉及的旗下系统、网站太多,在此不一一列举截图了,还需重视的就是几乎内外网的web应用,包括那个mis管理信息系统都存在许许多多的弱口令,应该要加强对内部员工的安全培训 修复方案:1、禁止webdav |
自学PHP网专注网站建设学习,PHP程序学习,平面设计学习,以及操作系统学习
京ICP备14009008号-1@版权所有www.zixuephp.com
网站声明:本站所有视频,教程都由网友上传,站长收集和分享给大家学习使用,如由牵扯版权问题请联系站长邮箱904561283@qq.com