因项目需求对上海研发公共服务平台进行测试,发现注册无验证措施,可进行注册攻击;用( 1' or 1=1 --)方式登录提示口令错误;用admin作为用户名和口令可登录子栏目构建库文章列表并获管理员权限,且系统未实现单点登录,刷新首页需重新登录。
由于项目的需要,测试了一下“上海研发公共服务平台”
登录:http://www.sgst.cn/index.jsp
选择“注册按钮”,注册只需要用户名和口令即可,晕,太简单了吧,没有任何验证措施,可以进行注册攻击。
登录过程中试验了( 1' or 1=1 --)方式的登录,结果提示口令错误,真是差劲。
登录子栏目:http://www.sstc.org.cn:82/Default.aspx的构建库文章列表:竟然使用admin作为用户名和口令登录成功,有管理员权限。
而且整个系统没有实现单点登录,进入不同的系统需要不同的用户名称和口令,登录首页刷新一次就需要重新登录。
哎呀,这个项目好像是863项目,烂呀。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
