在此与大家共享一个因为默认设置懒得修改而导致数据库被下载、从而进入网站后台管理的小案例。
参加此次友情出演的是“汇成企业建站CMS系统”,其默认的版权信息是“版权所有@2003-2020汇成企业建站CMS系统”(一般都在首页的最下方),我们可以直接以这个版权信息作为关键字来进行Google或百度
先来看第一个目标网站吧,广州市某广告设计有限公司,首页下方果然有“版权所有@2003-2020汇成企业建站CMS系统”字样,直接在域名之后添加Databaseshuicheng.mdb,一回车,立刻出现了数据库下载的提示
第四个目标:北京某环保技术有限公司,默认数据库下载、打开查看管理员账号信息(admin7a57a5a743894aOe【破解结果是:admin】)、直接在网站域名后添加“adminlogin.asp”访问其默认的登录页面
不用再继续了,四个网站已经足以说明问题了——都是“默认”惹的祸:【默认的版权信息:版权所有@2003-2020汇成企业建站CMS系统】危害:被Google成百度收入搜索数据库中,从而被人盯上:对策:修改或直接删除这样一些暴露模板的敏感信息