茅台一个小漏洞引发了主站用户密码泄露等后果
老实说,业务线核心处不给20有点过分了
漏洞引发了主站用户密码泄露、任意密码找回、订单用户信息(姓名、联系方式、地址..)、茅台内部通讯录、销售报表等等泄露等后果,落在坏人手上的话危害更大这就不列举了
起点总是细微的,起因是看了一下11月的精品,茅台的测试环境后台弱口令
https://shop.cdev.emaotai.cn/
此处发现了一个腾讯企业邮的设置,这smtp服务器感觉和主站是通的,登录上去看一下
明显是主站的smtp服务器所在了,各种重要账号和报表
内部信件中包含了后台、内部后台、京东的账号密码配置,各种订单管理、用户管理
然后这个主站的smtp服务器,所有注册用户都是由它来发送邮件,包括账号密码,测试可以直接登录主站
登录的时候发现。。。是不是找回密码的验证码也是通过这个呢
答案是肯定的。。。这就造成了任意用户登录的后果。。。
所有用户的账号密码、订单状态、订单详情等都是从这个邮件服务器输出的
这个服务处在整个业务线最核心的部位,要该好好保护啊
解决方案:
执行以下严格的账户体系控制就好。
—-想了解更多的企业安全相关处理怎么解决关注<计算机技术网(www.ctvol.com)!!>
本文来自网络收集,不代表计算机技术网立场,如涉及侵权请联系管理员删除。
ctvol管理联系方式QQ:251552304
本文章地址:https://www.ctvol.com/webstt/esecurity/99980.html