1、官方测试账号弱口令
登陆网址:www.fxiaoke.com/h/home/admin
企业账号:fxiaoke
个人账号:admin
密码:123456
当然这个似乎是用来测试的吧?没有任何有用的信息
2、用户弱口令
通过百度知道看到了一些使用纷享销客的客户,登陆它们的官网,能够猜测企业账号。比如友昌集团官网www.ycg.com.cn。企业账号可能就是ycg。
企业账号:ycg
个人账号admin
密码:888888
能够得整个企业的信息,可以添加员工等等。为了测试,添加了一个员工提权为管理员。之后在www.fxiaoke.com/XV/User/Login员工登陆,可以下载企业文件等等。
3、任意重置用户密码
上面两个问题显然不能影响大多数用户,那么下面就来演示如何重置所有用户密码(知道账号情况下)
首先在友昌的通讯录获得纷享销客的客服手机号
之后在员工登陆的页面有个找回账户或密码的按钮。之后我用刚才的账户测试了一下,发现邮件是这样的
显然四位验证码非常好破解,而且输入验证码的次数没有做限制。之后我为了不对业务造成影响,用自己注册的账号进行了测试
可以通过穷举来提交正确验证码
如图为跑出的验证码和邮件收到的验证码。
之后输入正确验证码可以修改密码。
1、关于弱口令,用户第一次登录时会被系统提示修改密码,但是新密码可以和原密码相同,不知道是不是设计上的疏忽。
2、修改密码的界面增加验证码,或限制输入次数。