某大型网站建设公司某测试站点存在漏洞可getshell导致大量客户网站源码泄露下载
-
来源:黑吧安全网 浏览:607次 时间:2014-07-15
某气象局系统,深圳地铁,三优之家,步科官网,中海地产,华林证券,凡拓动漫,华侨城,汇星城,第一上海,天云存储……………… 还有很多很多网站的整站源码及设计稿
问题出在这个测试站点
http://gz.chinasky.net:809
由于建站管理员过于疏忽
http://gz.chinasky.net:809/login.aspx
后台账号密码使用弱口令
admin 123456
导致可以进入该公司开发的cms后台
发现后台网站选项可以修改文件上传类型
试着增加asp
然后上传asp一句话木马
毫无压力一下子上传成功了 菜刀连着
下面是完结的项目
好多整站源码
这些数据挺吸引人的
但作为猪猪侠的崇拜者
我是不会去下载任务数据的
修复方案:
拒绝弱口令 限制后台文件上传类型