某水务局河道内网渗透经历

 

未授权访问(已通报修复)

漏洞等级：

高危

漏洞描述：

未授权访问漏洞，是在攻击者没有获取到登录权限或未授权的情况下，或者不需要输入密码，即可通过直接输入网站控制台主页面地址，或者不允许查看的链接便可进行访问，同时进行操作。

漏洞位置：

http://61.144.224.204:8080/rbs/map.jsp

漏洞验证：

访问http://61.144.224.204:8080/rbs/permissionManager.jsp

 

 任意添加删除编辑所有账号

 

修复建议：

常见的修复方法：在系统中，加入用户身份认证机制或者tonken验证，防止可被直接通过连接就可访问到用户的功能进行操作，简而言之，一定对系统重要功能点增加权限控制，对用户操作进行合法性验证。