在网上找资料时,无意中发现一篇文档,里面有一个网址,并附了一个管理员用户名密码表。进行尝试,部分密码是正确的。登录上去看看吧,果然看到了一些用户信息。
包括用户姓名、电话号码、身份证信息 等重要的客户信息。
1、网上查资料,在百度文档发现一篇文档 http://wenku.baidu.com/link?url=t6dqEzXpjWsymP099CfBhFbSKFzUbG2lmVvQ6wai6yg0jNTaQAaz9eive2E_jFqHWOaTUgUuse-ZSI7g7fTwdFwyoYhDmXU-M9ExNzkPYia
测试网址:http://122.229.6.32:8082/iptv
按上图表格中试下密码,后几个都是正确的,然后。。就这样进去了,进去了就看看吧
所有页面的查询都需要输入用户的帐号,帐号哪来呢。。。正好有一个历史记录查询界面,点一下,帐号信息就出来了。
再到机顶盒解绑的页面用帐号来查一下,查到了,而且用户名还要可以链接:
再点开看看,用户信息就出来了。
别的还没有挖,新手,也不太会挖,先发个简单的。
修复方案:
修改默认密码。
敏感信息,管理员不需要的信息,不要显示。