由于项目的需要,测试了一下“上海研发公共服务平台”
登录:http://www.sgst.cn/index.jsp
选择“注册按钮”,注册只需要用户名和口令即可,晕,太简单了吧,没有任何验证措施,可以进行注册攻击。
登录过程中试验了( 1' or 1=1 --)方式的登录,结果提示口令错误,真是差劲。
登录子栏目:http://www.sstc.org.cn:82/Default.aspx的构建库文章列表:竟然使用admin作为用户名和口令登录成功,有管理员权限。
而且整个系统没有实现单点登录,进入不同的系统需要不同的用户名称和口令,登录首页刷新一次就需要重新登录。
哎呀,这个项目好像是863项目,烂呀。