最近看到一些知名厂商的OA办公系统被暴露出安全问题，总结有以下几点

1.使用的web服务器(tomcat)存在默认的管理员用户密码而在实施时没有修改。修改密或关闭平台管理员功能。

2.在OA办公系统中使用了第三方组件，如ewebeditor在编辑器，但默认的用户名密码没有修改，这样很容易被猜出密码，导致可以上传任意文件，从而可以获得系统控制权限。应对方法是修改为复杂的密码。

3.在OA系统使用了弱口令，甚至管理员密码也不修改。应对方法是强制修改密码。

4.连接数据库密码被固定在程序中，或是没有修改，使用厂商提供的原始密码。这样黑客可以利用这个密码获得数据库权限，进而获得系统权限。应对方法修改密码(海钛瑞OA在安装时动态生成随机密码)。

5.OA办公系统中存在大量的SQL注入点,这样黑客利用这些漏洞轻而易举的获得了系统控制权限。这个就涉及到系统编写程序问题，不是到使用者那儿能解决的。需要在使用SQL时过滤客户端传过来单引号，效验其合法性。

最后厂被暴漏洞后，选择了忽略该漏洞(如果不忽略估计得付一笔漏洞细节告知费用),所以厂商为自己的利益，从而损害广OA办公系统用户的利益。这也说明OA厂商安全意识淡溥，在这个数据即财富的时代，情何以堪？

请广大用户三思而后行.不信可在http://www.wooyun.org 搜索。

有些OA厂商一方面鼓吹OA系统需要专业人员的实施，我看其实为赚取高额实施费用，从被暴露出的安全问题来看，所谓之专业实施人员其实不专业，连其本的安全常识都培训不了，导致企业OA数据严重泄漏。

所以OA用户还是要自己多掌握一些技术知识，对于某些厂商要慎重，以防数据无端被泄漏。

乌云虽已经散去，但安全问题并未消失，OA办公自动化系统的加强安全任重而送道远。

"不管从前，现在，还是未来，他们都将坚持那么做下去"