某日闲来无事，扫描到了一个科研系统，第一次尝试爆破，发现没有验证码，且密码大部分都是123456，相当于把企业信息全部泄露在外，曝光给了所有人。 于是将此信息报告给了涉事公司，公司反应还是比较迅速的。 不过效果吗，就感觉原来是完全裸露，现在加了一把锁，锁是很好看，但是钥匙就放在锁的旁边，要么就是这技术糊弄了公司，要么就是幼儿园水平。 入侵过程非常简单：打开首页地址如下： http://mall.ice-biosci.com 然后根据加载的JS就可以拿到其所有的接口地址，根据其名字就能知道大概含义，产品，员工、订单、审核、供应商全都直接可以拿到。 修复建议：先更换现有开发人员，因为这是小学生漏洞 公布一小部分拿到的数据： { "id": 1, "userAccount": "superadmin", "accountId": "superadmin", "userRoleid": 10000, "roleName": "超级管理员", "userType": null, "userStatus": 1, "userEmail": "", "userTelephone": "1343...

某日闲来无事，扫描到了一个科研系统，第一次尝试爆破，发现没有验证码，且密码大部分都是123456，相当于把企业信息全部泄露在外，曝光给了所有人。 于是将此信息报告给了涉事公司，公司反应还是比较迅速的。 不过效果吗，就感觉原来是完全裸露，现在加了一把锁，锁是很好看，但是钥匙就放在锁的旁边，要么就是这技术糊弄了公司，要么就是幼儿园水平。 入侵过程非常简单：打开首页地址如下： http://mall.ice-biosci.com 然后根据加载的JS就可以拿到其所有的接口地址，根据其名字就能知道大概含义，产品，员工、订单、审核、供应商全都直接可以拿到。 修复建议：先更换现有开发人员，因为这是小学生漏洞 公布一小部分拿到的数据： { "id": 1, "userAccount": "superadmin", "accountId": "superadmin", "userRoleid": 10000, "roleName": "超级管理员", "userType": null, "userStatus": 1, "userEmail": "", "userTelephone": "1343...