网址:89.217.14.54
漏洞描述:
Jenkins是一个开源软件项目,是基于Java开发的一种持续集成工具,用于监控持续重复的工作,旨在提供一个开放易用的软件平台,使软件项目可以进行持续集成。
Jenkins存在弱口令,攻击者可直接登陆后台。
漏洞复现:
登陆界面直接输入即可
用户名:admin 密码:admin
弱口令修复建议:
1.使用至少6位的数字、字母及特殊字符组合作为密码。数据库不要存储明文密码,应存储加密后的密文。
2.通过配置拦截器过滤掉无效用户的连接请求。
3.自定义一个Exception,将异常信息包装起来不要抛到页面上
漏洞危害:
口令就相当于进入家门的钥匙,弱口令因为很容易被猜到或破解,所以,使用弱口令就相当于你把家门钥匙放在家门口的垫子下面,当他人有了一把可以进入你家的钥匙时,想想你的安全、你的财物、你的隐私会是多美危险。尤其具有本单位网站、信息系统管理操作权限的师生,弱口令可能会带来更严重的危害!