漏洞描述:不同的业务系统存在相同的用户名密码,或者不同用户名使用相同的初始密码。
测试方法:使用同一个用户名密码登录不同业务系统,看是否均可成功登录。
风险分析:攻击者在得到一个业务系统的用户名密码后可尝试登录其他业务系统,造成其他业务系统信息泄漏。或者使用初始密码遍历用户名,批量获取可登录系统的用户名密码。
风险等级:
【高危】:多台服务器的后台或其他服务口令相同。
【高危】:不同用户名使用相同初始密码,且第一次登陆未强制密码修改或强制修改机制可绕过继续使用初始密码。
【低危】:同样的账户名密码可以在多个系统上登录。
修复方案:
1 设置每个账号的初始密码均不同,且不可预测。
2 不同业务系统采用不同的账号密码体系。
网友评论