首页
|
登录
|
注册
|
在线情况
|
搜索
|
帮助
免费OA论坛
→
GoOffice产品
→
OA入门
→
关于一些知名厂商的OA办公系统的安全问题
本地收藏
QQ书签
百度搜藏
雅虎收藏
关于一些知名厂商的OA办公系统的安全问题
发起人:
admin
回复数:
4
浏览数:
27347
最后更新:2018/11/27 8:52:29 by
dibai
简洁模式
完整模式
选择查看
搜索更多相关主题
帖子排序:
从旧到新
从新到旧
查看 admin 的资料
给 admin 发送邮件
搜索 admin 的帖子
2016/6/27 16:37:43
[
只看该作者
]
#1
admin
营长
角 色:管理员
发 帖 数:530
经 验 值:866
注册时间:2006/1/25
联系
编辑
删除
关于一些知名厂商的OA办公系统的安全问题
最近看到一些知名厂商的OA办公系统被暴露出安全问题,总结有以下几点
1.使用的web服务器(tomcat)存在默认的管理员用户密码而在实施时没有修改。修改密或关闭平台管理员功能。
2.在OA办公系统中使用了第三方组件,如ewebeditor在编辑器,但默认的用户名密码没有修改,这样很容易被猜出密码,导致可以上传任意文件,从而可以获得系统控制权限。应对方法是修改为复杂的密码。
3.在OA系统使用了弱口令,甚至管理员密码也不修改。应对方法是强制修改密码。
4.连接数据库密码被固定在程序中,或是没有修改,使用厂商提供的原始密码。这样黑客可以利用这个密码获得数据库权限,进而获得系统权限。应对方法修改密码(海钛瑞OA在安装时动态生成随机密码)。
5.OA办公系统中存在大量的SQL注入点,这样黑客利用这些漏洞轻而易举的获得了系统控制权限。这个就涉及到系统编写程序问题,不是到使用者那儿能解决的。需要在使用SQL时过滤客户端传过来单引号,效验其合法性。
最后厂被暴漏洞后,选择了忽略该漏洞(如果不忽略估计得付一笔漏洞细节告知费用),所以厂商为自己的利益,从而损害广OA办公系统用户的利益。这也说明OA厂商安全意识淡溥,在这个数据即财富的时代,情何以堪?
请广大用户三思而后行.不信可在http://www.wooyun.org 搜索。
OA办公系统改变传统办公模式。
快乐工作,快乐生活!
QQ:769493449 MSN:shihan1688@sina.com
联系我们
-Email:shihhan1688@sina.com QQ:1812143094 Tel:15919870037
网络传真
OA交流群:72840413 -
hitai
-
论坛存档
-
返回顶部
Powered by
HITAI 2008 ACCESS
© 2003-2024
hitai.com
页面执行时间 0.13 秒
服务器时间2024/5/7 12:57:55