管家婆CRM 系列曝严重漏洞!(原创)

YINGWP1

这个也太危险了吧!!!!!!!!!!!!!!!!!!!





※ 注 意1：本论坛为技术交流论坛，无交流意义帖子会被删除或扣分。
※ 注 意2：为了网友们能更快地理解你的回复,请详细表述你的交流内容,并最好附上问题图片。
※ 注 意3：对于能够提供关于楼主附件的测试报告,经审核合格者，补偿购买额的50%。

对于不符合以上要求的帖子,管理员将进行扣分和删除处理。
以上内容请在提交帖子前删除

领取不了红包？参考：http://bbs.sunwy.org/thread-23277-1-1.htmlZ这

YINGWP1 于 2009-9-4 01:02 补充以下内容

真的这么危险吗?????????????????????

cracks

关外网访问先，在不行外网访问前要走vpn 没有vpn账号的不给登录。。。哈哈！！！！

zx137

看了半天也没弄明白，是不是把顶部菜单里的网站屏蔽后就可以了吗？还是说得有别的措施？

wntdcw

直接访问方面的我很早就提出来了，但没什么人关注啊？

zx7jy

到底怎么回事啊？这么长时间了也没个消息

victhak

今天来结贴吧..

1.登陆到CRM中.. 复制出地址栏的地址. 如: http://121.46.x.x/Window.asp?UID={77EB4652-7EB1-4B08-AB8F-8F3500B16519}&TimeID=0.492213310573349

2. 把这个地址发给别人,或者用Firefox 等其它不同于登陆CRM的浏览器打开刚复制的地址, 看看是否能打开,直接进系统?

3. 现在一般网页都有站长统计....

当你点击 www.weway.com 进入官方网站后,你的http://121.46.x.x/Window.asp?UID={77EB4652-7EB1-4B08-AB8F-8F3500B16519}&TimeID=0.492213310573349  这个地址被记录, 网方人员一点击就进入你的系统...

Over

本帖子由阳光论坛管理组成员答复

打造出国内一流的行业软件应用交流论坛－－阳光网驿助力企业信息化

zx7jy

我自己测试，上面的地址无效，我是管家婆crm7.2，2003系统，sql server2005数据库。

xiacheng

确实是这样啊，把这个地址的IP换成任意一个在使用这个系统的IP就可以进入对方的系统了。这个问题需要解决啊。不知道ERP有这个漏洞没有？

原帖由 victhak 于 2009-9-29 12:21 发表
今天来结贴吧..

1.登陆到CRM中.. 复制出地址栏的地址. 如: http://121.46.x.x/Window.asp?UID={77EB4652-7EB1-4B08-AB8F-8F3500B16519}&TimeID=0.492213310573349

2. 把这个地址发给别人,或者用Firefox 等其它 ...

xiacheng

还有一点，就是并非不点击官方网站就安全，只要人家知道你的IP，就可以登陆你的系统。如果官方有一个相应的统计，或者是安装的时候程序有返回一个IP到官方服务器，就可以了。大部分网络软件都有安装的时候返回IP或者服务器信息到官方服务器保存的习惯吧？技术上很简单。不可不防啊！

robin9909

用单机的不就可以了吗?????