中小企业的信息安全管理真的太弱了

2017-04-23 21:00:06 +08:00
 ericgui
今天和一个大学师兄通话
他开了一个知识产权代理公司(代为申请专利和商标什么的),公司30多人了
他们找了个外包公司做了一个后台管理系统,
结果我一看,你们猜怎么着?

1 、管理员密码是 6 个 1
2 、联系人和业务案件详细内容,堆在后台,一览无余
3 、这个破系统一看就是用某个开源框架搭起来的,功能残缺,至于漏洞和安全性,简直就更不用说了

我也是射了,实在无力吐槽,而且就这么一坨狗屎,还花了 3 万, 2 个月工期延期到 4 个月。。。。。

现在外包的钱这么好赚么?

PS:搞了半天,这密码是6个1的账号,还是一个超级管理员账号。。。。。
11310 次点击
所在节点    程序员
94 条回复
anyclue
2017-04-23 21:34:46 +08:00
国内普遍就是这种现状
manhere
2017-04-23 21:37:50 +08:00
admin admin666 admin888 admin123 666666 888888 这几个密码基本畅游大部分企业站了
ericgui
2017-04-23 21:37:54 +08:00
@gen900 你说得对,其实甲方(我同学这公司)对自己的所有需求,没有做到很好的梳理,所以可能沟通也不清楚,现在这破系统还有几个功能没实现。所以我觉得实在不知道怎么说,毕竟我说多了,我同学自己都不懂了。

甲方自己的信息安全意识也是个大问题。他们确实这方面没想明白。
ivvei
2017-04-23 22:27:08 +08:00
密码强度是软件使用者的事情啊,跟开发者有什么关系,又不是不能改……

东西都堆在后台一览无余多方便啊,哪不好了。
ZXCDFGTYU
2017-04-23 22:38:35 +08:00
我司外包业务还在用 aspcms 和 dedecms 等国产垃圾。。。给客户用的项目托管服务器还在用 win2003 ,没监控,没负载均衡,没心跳机制,核心业务的对外接口不做防重放,用户鉴权直接用户名密码和 id 直接 get 到 server 。。提了好几万遍换 linux ,加负载均衡和心跳,领导直接一句不可能上这些因为他不会用就把我怼回去了。

我 tm 能说啥。

哦对了,现在我司正在准备新三板。
armoni
2017-04-23 22:49:29 +08:00
我还见过某政府系统密码就是 1 位: 1
UnknownR
2017-04-23 23:35:56 +08:00
某 500 强,非国内,安全做的很到位,但是相对的,各种权限和等级分的巨细,别说是普通用户了,就是我们 IT 想要个普通的系统权限,也要审批个几个工作日,去数据中心都是提前个把月申请的,三方确认,中小企业估计很难承担增加安全所增加的成本,费用只是小意思,主要是人员与时间
darrenfang
2017-04-23 23:54:21 +08:00
我现在做的后台,新用户登录强制改密码...之前口头说完全不起作用
xiazhi
2017-04-24 00:04:10 +08:00
这系统是很弱,那么做安全的公司能挣到钱么?
什么样的市场就产生什么样的产品~~~
ericgui
2017-04-24 00:17:00 +08:00
@UnknownR 话虽如此,但这个系统里,有他们所有客户资料,以及正在进行中的业务的资料。一旦被删库什么的,损失挺大。
lalala2016
2017-04-24 00:20:05 +08:00
去年不小心弄到了某宝(不是支付宝)的后台路径,鬼使神差的居然碰对了密码,那还是家上市公司,现在的管理员安全意识有多薄弱可想而知了。现在身居要位都不是技术员,想没有漏洞都难。
wanglaihuai
2017-04-24 00:21:42 +08:00
中小企业?中铁的报价系统都是默认密码。哎呀我是不是说多了………
Mac
2017-04-24 00:30:42 +08:00
123456
qile1
2017-04-24 00:50:16 +08:00
你们说密码的见过自己系统 ip 地址都忘记得没?
fashioncj
2017-04-24 00:54:04 +08:00
上公网也不一定能发现登录入口。让小企业注意安全。得考虑成本。
8023
2017-04-24 00:57:25 +08:00
用户名密码为 admin/admin 的 基于 dedecms 的 企业展示站, 一扫一大堆...
coderluan
2017-04-24 00:58:18 +08:00
楼主给你 3w 块,你肯接同样功能的网站吗,然后即使对方没要求,你也会特意考虑各种安全问题?
zdkmygod
2017-04-24 01:30:22 +08:00
@ericgui 后台直接连到微信是什么意思,微信直接打开管理系统的页面么?
不懂怎么开发个微信小应用就增加安全性了。
dven
2017-04-24 05:20:18 +08:00
刚换的号码之前可能是以前有人用过老是受到某家催收机构的骚扰,后来实在忍无可忍了,直接从百度搜到的后台地址 3389 弱口令( Administrator/123456 )进去把除 C 外的盘全格了
kwlokip
2017-04-24 07:43:32 +08:00
话说密码不是得要使用者自己改的吗

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/356829

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX