献给南通各企业网站的网络管理员
仅以此文献给南通各企业的网络管理员,希望对你们网站的安全有所帮助。
1、默认帐号和密码
一般网络公司为企业做的网站或者网上下载的程序初始帐号和密码通常为
帐号:admin 密码:admin
帐号:admin 密码:admin888
帐号:admin 密码:123456
一些管理员为了图方便网站公开运作后也没有进行修改,这就是一个重大安全隐患!
2、默认数据库
很多网络公司为企业做网站时默认数据库路径为data/database.mdb或database/database.mdb等类似的,入侵者能过猜解工具(如:明小子domain或啊D一下就扫出来了),另外企业在网上下载程序默认的数据库一定要进行修改。
3、在线编辑器漏洞
几乎百分之六七十的网站都存在ewebeditor目录(特别网络公司帮企业开发的,说开发还不如说改的,更不如说是网上下载的程序硬套,呵呵,这是事实),为什么呢?首先,在线编辑器对客户而言跟办公软件word一样用着非常方便,其次可以为网络公司程序员减少很多技术活,但众多网络公司只知道赚钱对客户根本就不负责,甚至可以说有的网络公司压根就不懂网络安全,其他的我也不想多说了,各位网络公司的大牛你们自己好好反省吧,下面我将漏洞贴出来:
ewebeditor/admin_login.asp、editor/admin_login.asp或edit/admin_login.asp
默认帐号:admin
默认密码:admin888
默认帐号:admin
默认密码:admin
光修改了默认帐号和密码还是不行,还可以下载数据库(这里为了安全一定要修改掉默认数据库路径、设置一个复杂的后台密码MD5加密也是阻止黑客拿到web权限的好方法)
ewebeditor/db/ewebeditor.mdb
4、注入、上传
注入漏洞和上传漏洞现在都已经很少了,基本上网络公司做的或者网上下载的都已经不存在了,除非网络公司的程序员实在太菜了、一般都有打上SQL防注入代码和上传漏洞文件格式过滤掉就可以补掉漏洞!
