在浏览OpenEIM网站的过程中我通过连接访问到某个网站,发现这个网站的界面风格与OpenEIM很相似,通过测试,初步判断应该使用的是一套系统,先注册个用户看一下吧,发现可以注册“零距离”这个id,这个id在OpenEIM是管理员的身份,这时你想到了什么?cookie欺骗。尽管两个网站在不同的服务器上,可是后台的代码应该是一样的,cookie应该也是通用的,经过测试确实如此,这样我就拥有了“零距离”在OpenEIM上所有的权限(论坛除外,因为登录论坛有安全问题)。如图3所示。
 
接下来可以做的事情就很多了,通过cookie欺骗,可以获得blog系统“小废物”、“kiddymeet”等高级别用户在blog的权限,招聘系统管理员的权限,然后就是找后台路径,如果运气好可以上传php一句话木马,获得服务器的webshell。到了这一步就没有再测试下去,担心测试会给网站带来大的影响,毕竟是OpenEIM的忠实用户,不能乱搞破坏嘛。

总的来说,OpenEIM的安全性在我测试过的IT类门户网站中还是不错的。这次检测我没有使用工具对php注入进行测试,只是简单的手工测试了一下,现在的黑客工具太多捆绑木马,因为计算机不快,我又懒得在虚拟机测试,所以没做。

后记:OpenEIM技术人员看到此文后已经在第一时间修补了这些漏洞。我测试出的这些问题的原理其实不复杂,大家按此思路去其他网站找找,也许能找到更多的安全漏洞——不过可别干太坏的事哈。如果是自己做网站的,可以看看自家网站有没有类似的安全漏洞,及时堵上。这篇文章能与大家见面首先要感谢零距离和小废物,他们为这篇文章能重见天日付出了不少时间和精力,也要感谢OpenEIM的技术人员能够及时修补漏洞,更要感谢OpenEIM的各位领导,是他们的开明才使这篇文章得以在OpenEIM发表。

感谢OpenEIM的技术人员能够及时修补漏洞相关推荐

  1. 做为技术人员为什么要写博客?

    做为技术人员为什么要写博客? 本文只代表个人见解,不代表任立场,如果您认为我的想法是错的那很正常,因为这是我的想法,如果您觉得您的想法和我一样,那我们就是传说中的 "激友"(对生活 ...

  2. 技术人员的狂欢 | 看雪2020第四届安全开发者峰会顺利落幕

    在5G新基建的浪潮下,网络攻击手段不断升级,攻击范围也扩大到各个领域,新时代的网络安全将面临更复杂严峻的挑战. 10月23日,看雪2020第四届安全开发者峰会(看雪2020 SDC)顺应时代的变化,聚 ...

  3. 技术人员如何建立个人品牌

    遇到过很多人介绍自己时,都习惯说自己是某某公司的某某某,如果是没公司,没职业的人呢?我遇到一些是自称为某某爸爸,某某妈妈,当然社会上还有一些自称老爸是何人的介绍方式,这离我有点远,就不谈论了.据说最牛 ...

  4. 以我失败的职业经历:给初入职场的技术人员几个小建议

    道哥的第 024 篇原创 文章目录 先说声抱歉,斗胆了 为什么突然想写这篇文章 不管怎样,一定要考研 在小公司如何混 在技术上,一定要往深度钻 请教别人,一定要虚心 趁年轻,多吃苦 既要埋头干活,也要 ...

  5. 鸟哥:技术人员如何保持进步

    在任何一个时代,一款优秀的产品背后必定有一只优秀的团队做支撑.有目共睹,链家在过去的一年里成绩斐然.我不禁好奇,这背后是怎样的一只技术团队?恰好去年"鸟哥"惠新宸离开微博加盟链家一 ...

  6. 技术人员行走职场三大陷阱之“盲目创业”

    版权声明:原创作品,允许转载,转载时请务必以超链接形式标明文章原始出版.作者信息和本声明.否则将追究法律责任.本文地址: http://blog.csdn.net/jobchanceleo/archi ...

  7. 中台之上(二):为什么业务架构存在 20 多年,技术人员还觉得它有点虚?

    点击上方"程序猿技术大咖",关注并选择"设为星标" 回复"加群"获取入群讨论资格! 业务架构这个词大家时常听到,但是能解释得清楚的却不多,撩 ...

  8. 关于学习技术人员的看法

    很多人都知道做技术人员其实本不是那么容易的,而且加班最近老与一些身边的80后的朋友聊天.大多数北漂,来京十年以上的占大多数,没有北京户口的占大多数,干IT互联网的占大多数,年薪在15-50万的占大多数 ...

  9. 怎么测试一个人的计算机应用能力,对专业技术人员计算机应用能力考试的思考...

    摘要: 全国专业技术人员计算机应用能力考试主要是测试参试人员在计算机与网络方面的基本应用能力,考试科目采取模块化设计,每一科目单独考试.如何做好考前复习,顺利通过考试是广大参考人员最关心的问题.笔者结 ...

最新文章

  1. 致敬YOLO!华科提出YOLOS:基于视觉Transformer的目标检测
  2. html and js 的隔行换背景色表格实例详解
  3. 【B站视频教程笔记】基于VSCode和CMake实现C/C++开发 | Linux篇(gcc/g++)(安装、配置、使用详细教程)(VSCode教程)(CMake教程)(精!)
  4. 初学java---第二课《接收控制台(console)输入的方法》
  5. 如何将页脚固定在页面底部
  6. Codeforces Good Bye 2015 A. New Year and Days 水题
  7. java用户注册代码解析_java springmvc 注册中央调度器代码解析
  8. 【华为云技术分享】用人工智能技术推动西安民俗文化,斗鱼超管团队有一套
  9. Bailian4036 计算系数【数学+迭代】
  10. C++ string和wstring互转实现
  11. 在浏览器中播放m3u8
  12. python是一种什么类型的植物_植被类型预测
  13. cad用计算机怎么计算坐标,CAD坐标怎样计算
  14. 【JZOJ3337】wyl8899的TLE【二分】【哈希】
  15. 大厂HR面试会问什么?
  16. 电子邮件服务的配置和使用
  17. TeamViewer和向日葵远控软件的个人使用感觉
  18. 温补晶振及压控晶振的技术资料与应用
  19. 心电数据集MIT-BIH处理
  20. ido-mode使用

热门文章

  1. HTML常用标签+CSS基础
  2. 实战Zabbix-Server数据库MySQL的libdata1文件过大
  3. Spark下的word2vec模型训练
  4. 一款问答APP的产品需求文档(PRD)
  5. 这些人生经验与常识相反
  6. php 字符串划线,php – 在elasticsearch中将整个字符串与短划线匹配
  7. java signal handler_JAVA优雅停机的实现
  8. 【Python】修改pip默认缓存位置
  9. 基于栈的后缀表达式求值(洛谷P1449题题解,Java语言描述)
  10. python3与MySQL交互