若依前台漏洞总结
💡
原文中文,约1600字,阅读约需4分钟。
📝
内容提要
文章介绍了若依框架的常见安全漏洞,包括未授权访问、弱口令和默认密码等。未授权访问可通过路径扫描获取敏感信息,弱口令如admin/admin常被利用。还提到shiro反序列化和未授权文件上传的风险,建议加强安全防护。
🎯
关键要点
- 若依框架常见安全漏洞包括未授权访问、弱口令和默认密码。
- 未授权访问可通过路径扫描获取敏感信息,常见的API路径有/api、/dev-api、/prod-api等。
- 常见弱口令包括:admin/admin、admin/admin123、admin/123456等。
- 登录后需重点查看Session监控和URI监控,可能存在历史登录的Session。
- shiro反序列化风险存在于使用rememberMe字段的登录界面。
- 未授权文件上传风险可通过构造文件上传请求包进行攻击。
- 建议加强安全防护,避免利用弱口令和未授权访问进行攻击。
➡️
