某水务局河道内网渗透经历

 

未授权访问(已通报修复)

漏洞等级:

高危

漏洞描述:

未授权访问漏洞,是在攻击者没有获取到登录权限或未授权的情况下,或者不需要输入密码,即可通过直接输入网站控制台主页面地址,或者不允许查看的链接便可进行访问,同时进行操作。

漏洞位置

http://61.144.224.204:8080/rbs/map.jsp

漏洞验证:

访问http://61.144.224.204:8080/rbs/permissionManager.jsp

某水务局河道内网渗透经历_第1张图片

 

 任意添加删除编辑所有账号

 

修复建议:

常见的修复方法:在系统中,加入用户身份认证机制或者tonken验证,防止可被直接通过连接就可访问到用户的功能进行操作,简而言之,一定对系统重要功能点增加权限控制,对用户操作进行合法性验证。

你可能感兴趣的:(某水务局河道内网渗透经历)