漏洞类型：

弱口令/无访问控制/代码备份

相关网站

内网多个ip

问题描述

文件、数据库、代码、phpMyAdmin等无法访问控制或者弱口令

漏洞详情

一票Web容器没做访问控制，同时给了列目录权限。这样就等于自己的各种资源分享给了所有人啊，这应该不是初衷吧。

然后还有一票phpMyAdmin没有访问控制，或者弱口令。据说拿到MySql的远程登录权限甚至能上传程序控制整个主机。

然后是使用默认密码的版本控制程序、惠普打印机、戴尔服务器、中兴4G LTE CPE设备、TP-LINK路由器。这个打印机还有Telnet功能，能远程打印。至于有没有打印出来不知道了。

最后是一个智慧油田系统。数据库没有使用弱口令，但是把源代码打包放到Web容器里，很容易从中找到数据库配置。管理员密码还是明文存储的。。。

总结一下：使用web容器最好不要给列目录的权限；不使用弱口令和默认密码；代码不要打包后放到容器中。 PS. 我尽量隐藏IP等细节了。如果不小心放出了请即使私信我。

原帖

http://bbs.byr.cn/#!article/WWWTechnology/24398