关于一些知名厂商的OA办公系统的安全问题 | |
发起人:admin 回复数:4 浏览数:27350 最后更新:2018/11/27 8:52:29 by dibai |
选择查看 | 搜索更多相关主题 帖子排序: |
admin 发表于 2016/6/27 16:37:43
|
关于一些知名厂商的OA办公系统的安全问题 最近看到一些知名厂商的OA办公系统被暴露出安全问题,总结有以下几点
1.使用的web服务器(tomcat)存在默认的管理员用户密码而在实施时没有修改。修改密或关闭平台管理员功能。 2.在OA办公系统中使用了第三方组件,如ewebeditor在编辑器,但默认的用户名密码没有修改,这样很容易被猜出密码,导致可以上传任意文件,从而可以获得系统控制权限。应对方法是修改为复杂的密码。 3.在OA系统使用了弱口令,甚至管理员密码也不修改。应对方法是强制修改密码。 4.连接数据库密码被固定在程序中,或是没有修改,使用厂商提供的原始密码。这样黑客可以利用这个密码获得数据库权限,进而获得系统权限。应对方法修改密码(海钛瑞OA在安装时动态生成随机密码)。 5.OA办公系统中存在大量的SQL注入点,这样黑客利用这些漏洞轻而易举的获得了系统控制权限。这个就涉及到系统编写程序问题,不是到使用者那儿能解决的。需要在使用SQL时过滤客户端传过来单引号,效验其合法性。 最后厂被暴漏洞后,选择了忽略该漏洞(如果不忽略估计得付一笔漏洞细节告知费用),所以厂商为自己的利益,从而损害广OA办公系统用户的利益。这也说明OA厂商安全意识淡溥,在这个数据即财富的时代,情何以堪? 请广大用户三思而后行.不信可在http://www.wooyun.org 搜索。 |
hotoa 发表于 2016/6/29 8:34:38
|
有些OA厂商一方面鼓吹OA系统需要专业人员的实施,我看其实为赚取高额实施费用,从被暴露出的安全问题来看,所谓之专业实施人员其实不专业,连其本的安全常识都培训不了,导致企业OA数据严重泄漏。
|
admin 发表于 2016/12/17 16:32:12
|
所以OA用户还是要自己多掌握一些技术知识,对于某些厂商要慎重,以防数据无端被泄漏。
|
amanda 发表于 2018/5/24 10:48:22
|
乌云虽已经散去,但安全问题并未消失,OA办公自动化系统的加强安全任重而送道远。
|
dibai 发表于 2018/11/27 8:52:29
|
"不管从前,现在,还是未来,他们都将坚持那么做下去"
|