由某处功能缺陷导致该系统的最高管理权限被获取,可控制38个市的业务系统、3个管理系统。
#1、收集信息 发现员工登录页面:http://zhiyinlou测试数据/Cas/login
得到管理员用户名:qx@xueersi测试数据
#2、找回密码处的功能缺陷 找回步骤的参数直接放在url中,且未经过任何校验,直接修改为step3,可导致跳过验证身份,直接重置密码。
管理员qx@xueersi测试数据的密码重置为test123。
#3、成功登录 管理员的权限可以控制38个市的培优业务系统和3个管理系统(新BI系统、网校学习卡系统、CRM管理系统)。
在培优业务系统中可对该市学而思集团的班级、教师、财务、优惠、单证、家校、评价、经验值、试题、权限、讲义、学员进行管理,可修改学员、教师、财务等数据,并泄漏大量 培训 资料。
实际测试过程中,系统要求安装插件,绑定MAC地址。证明危害的目的已达到,故未深入(这样对核心系统管理员的身份校验还是体现了很强的安全意识的,值得学习。) CRM管理系统可对学科(讲座)、呼叫和服务中心、销售、客户、报表等进行管理,无二次身份校验。
#4、其他 Google得到的其他后台地址:http://HdhCmsTestzhiyinlou测试数据/admin/SysUsers/login
修复方案:
#1、修正找回密码处的逻辑问题。 #2、关键系统屏蔽搜索引擎爬虫。 #3、重置了管理员密码不好意思●﹏● #4、未 下载 任何信息,求20rank,求不开除,求礼物~(本人学员)
查看更多关于学而思(好未来)集团网上核心系统最高权限可的详细内容...