1%以上的网站存在漏洞,银行、学校、物流系统…无一幸免。
下图是某学校网站的测试结果,可以随意查看网站的任何信息,包括服务器的配置、安装了哪些软件、管理员用户名等信息,从图片能看出,这是个Windows系统,管理员的用户名是:administrator 。
为了更方便的看到网站的数据,百度搜索“jsp木马”,随便找一段代码上传到这个网站。
打开木马,就能管理服务器的所有内容,Windows2012系统,硬盘里有几百G的资料…
为了避免被请喝茶,哥哥就不深入了,漏洞已经告知这家学校了。
诈骗人员会专门购买学生资料,然后打电话行骗,当年的徐玉玉案就是如此,都是学校保护资料不力,疏于管理导致的。
接下来,哥哥继续演示利用商城系统的漏洞,批量入侵。
ecshop在国内非常主流,大部分商城网站都是用这套系统做的。
ecshop漏洞和刚才的struts 2漏洞的操作方法一样,先用软件采集全网各大商城的网址,然后用软件批量检测。