实战案例(1)：OWASP Top 10 2021 失效的身份认证 1-10

案例一：管理员弱口令

悠唐时代某漏洞(影响近40W用户数据危机用户资金安全) https://wy.zone.ci/bug_detail.php?wybug_id=wooyun-2015-0126955

安全风险【已修复】：

1. 悠唐时代的UCenter用户管理中心（http://**.**.**.**/uc_server/admin.php）存在弱口令（admin/123456），登录后可获取40w用户数据。

安全建议：

1. 仅管理员使用的管理后台，不建议开放到互联网；
2. 管理后台的地址，不建议使用常见地址，例如：/admin.php、/admin/login.asp、/manage/index.html；
3. 管理员帐号，建议禁用常见用户名，例如：admin、administrator、root；
4. 管理员密码，建议设置强口令规则，例如：至少使用8个字符，至少包含大小写英文字母、特殊字符、数字中的2个；
5. 建议使用防暴力破解机制，例如：使用图形验证码、多次登录失败后锁定帐号一段时间；
6. 建议使用双因子登录，例如：短信验证码、动态令牌。

案例二：管理员弱口令+LED户外大屏

丽江市LED显示屏信息显示系统高危漏洞可发布广告（可远程控制上百块LED屏幕） https://wy.zone.ci/bug_detail.php?wybug_id=wooyun-2014-076215

安全风险【已修复】：

1. 丽江市LED显示屏信息显示系统（http://**.**.**.**:8888/main.aspx）存在弱口令（admin/123456），可向全市169块LED户外大屏推送任意信息，给政府形象造成负面影响。

安全建议：

1. 同案例一。

案例三：管理员弱口令+视频监控系统

某市水利局监控系统弱口令可利用366个探头实时监控内部情况 https://wy.zone.ci/bug_detail.php?wybug_id=wooyun-2015-0125288

安全风险【已修复】：

1. 某市水利局的网络视频监控系统（http://**.**.**.**）存在弱口令（admin/admin），可实时观看全市366个监控镜头画面。

安全建议：

1. 同案例一。

案例四：管理员弱口令+网络设备

某市地震局网络设备弱口令 https://wy.zone.ci/bug_detail.php?wybug_id=wooyun-2014-061840

安全风险【已修复】：

1. 某市地震局H3C交换机（http://**.**.**.**:803/cn/login.html）存在弱口令（admin/admin），常见利用思路是：1、流量抓包并下载查找帐号密码、敏感文件等信息；2、修改ACL获得内部网络访问权限。

安全建议：

1. 同案例一。

案例五：管理员弱口令+文件上传getshell+服务器泄漏源代码和密码本

电信某重要分站弱口令可getshell(泄露大量内部信息以及部分源代码) https://wy.zone.ci/bug_detail.php?wybug_id=wooyun-2014-075512

安全风险【已修复】：

1. 电信的积分商城运管平台（http://**.**.**.**:9002/Home/Index#）存在弱口令（admin/123456），登录后台后使用任意文件上传漏洞上传webshell获得操作系统权限，翻看操作系统中的源代码可审计0day漏洞、翻看密码本和配置文件可获得大量帐号密码。

安全建议：

1. 同案例一。

案例六：普通用户弱口令+OA系统

中粮某处存在弱口令可泄露大量信息 https://wy.zone.ci/bug_detail.php?wybug_id=wooyun-2015-0126516

安全风险【已修复】：

1. 中粮OA（http://**.**.**.**/seeyon/index.jsp）使用弱口令（123456、111111）爆破常见用户名，可成功获得大量有效帐号，可登陆查看通讯录，获取公司所有员工的个人信息（姓名、部门、岗位、职级、手机号码等）；
2. 若OA存在邮件功能，可发送附件式钓鱼邮件进行鱼叉攻击，员工点击附件后攻击者就能获得员工电脑的控制权限。

安全建议：

1. 建议设置强口令规则，例如：至少使用8个字符，至少包含大小写英文字母、特殊字符、数字中的2个；
2. 建议使用防暴力破解机制，例如：使用图形验证码、多次登录失败后锁定帐号一段时间；
3. 建议使用双因子登录，例如：短信验证码、动态令牌。

案例七：万能帐号

海信集团某系统后台登录SQL注入绕过登录 https://wy.zone.ci/bug_detail.php?wybug_id=wooyun-2014-081160

安全风险【已修复】：

1. 海信集团的员工调配系统（**.**.**.**:8080/Web/transfer/login.asp）、绩效管理系统（http://**.**.**.**:8080/Web/performance/login.asp）、管理标准查询系统（http://**.**.**.**:8080/Web/standard/login.asp）的登录框存在SQL注入漏洞，可使用万能帐号（admin' or 'a'='a）成功登陆，获得管理员权限。

安全建议：

1. 仅管理员使用的管理后台，不建议开放到互联网；
2. 管理后台的地址，不建议使用常见地址，例如：/admin.php、/admin/login.asp、/manage/index.html；
3. 建议使用双因子登录，例如：短信验证码、动态令牌。

案例八：重置密码漏洞

某交友APP任意用户密码重置 https://wy.zone.ci/bug_detail.php?wybug_id=wooyun-2014-074412

安全风险【已修复】：

1. 某交友APP（http://**.**.**.**/）的忘记密码接口（POST /data/user/password/reset）存在3个参数（code=短信验证码&mobile=手机号码&password=新密码），其中短信验证码是4位数字，可被爆破，从而重置密码获得帐号权限。

安全建议：

1. 建议使用防暴力破解机制，例如：使用图形验证码、多次登录失败后锁定帐号一段时间；
2. 建议将短信验证码设置为6个数字，提高爆破的难度；
3. 建议限制每个短信验证码的可用次数，多次输错后需重新获取短信验证码，再次获取短信验证码需等待一定时间。

案例九：重置密码漏洞

天津航空重置任意用户密码（账户安全关键敏感信息泄漏） https://wy.zone.ci/bug_detail.php?wybug_id=wooyun-2014-059947

安全风险【已修复】：

1. 天津航空的机票预订网站的重置密码功能（http://**.**.**.**/frontend/users/modifyinfo/resetPassword.jsp），第一步是输入用户名，第二步是输入密码保护问题答案，第三步是重置密码。第二步的密保问题，后端会把答案发给前端，用前端JavaScript代码进行验证，导致攻击者可以获取密保答案或篡改验证逻辑，从而重置任意用户的密码获得帐号权限。

安全建议：

1. 在后端验证密码保护问题答案。

案例十：重置密码漏洞

和讯网修改任意用户密码漏洞 https://wy.zone.ci/bug_detail.php?wybug_id=wooyun-2015-091216

安全风险【已修复】：

1. 和讯网找回密码（http://**.**.**.**/getpassword_setnew.aspx）的逻辑是：第一步输入邮箱后服务器给邮箱发送重置密码链接；第二步登录邮箱查收重置密码链接进行密码重置。在第二步时可点击“请重新发送邮件”，该请求包含邮箱信息，可抓包修改成自己的邮箱，这时服务器会将受害者的密码重置链接发到自己的邮箱中，从而重置任意用户的密码获得帐号权限。

安全建议：

1. 前端不可以控制密码重置链接的发送邮箱。