2013年12月1日 星期日

我的滲透測試作業(動工三)--專業廠商也有疏忽的時候

進行滲透測試,總想著可能會有多麼困難,用盡各種特殊工具來挖掘弱點,但有時候無心的動作可能就會突破一個關卡。
本次測試的另一組同伴輕易就發現一個弱點,一個根本就不應該存在的弱點----系統竟然沒有做密碼驗證,只要輸入對的帳號,密碼隨便打(但不能不打)就可以登入系統。
真的一家這麼大的廠商,從事多年系統開發,也是可能犯下致命的錯誤,在那之前我還用NMAP去掃可否發現弱點,同事竟然只敲幾個按鍵就入侵成功! 真是踏破鐵鞋無覓處,得來全不費功夫,有時複雜的系統用簡單的方法就能破解!

沒有留言:

張貼留言