EOVA弱口令安全问题
Jieven 发布于2月前 5答/4619阅

近日,收到国家信息安全漏洞共享平台(即中国国家漏洞库,CNVD)通知!

某些使用EOVA开发的应用存在弱口令漏洞。经测试,这些应用的确存在弱口令问题。

比如默认的

超级管理员帐号密码未修改,还是默认的eova/000000

管理员帐号密码未修改,还是默认的admin/000000

导致可直接登录系统,泄漏敏感业务信息.


请开发者协助应用或甲方做好善后处置工作。

1.重置所有初始帐号密码

修改 初始密码, 密码弄复杂一点, 不要使用众所周知的000000 111111

尤其是 eova admin 账户

2. 正式系统务必启用验证码

src\main\resources\default\eova.config

isUpgrade = true

3.做好业务的URI权限
具体用法参考:文档按钮的URI权限配置

4.外网系统请务必升级到最新的V1.6.0版本

https://gitee.com/eova/eova/tree/V1.6.0/


[沙发] mslj2008
用eova登录系统,提示:“当前角色没有权限查看任何菜单”,请问怎么解决?
[地板] 瘦猪呆兔
@Jieven 能否强制要求登录后修改密码?
[地毯] Jieven
@瘦猪呆兔 能, 重写IndexCtrl main 的逻辑, 如果发现密码为默认密码, 强制跳转密码修改页.
[4楼] 瘦猪呆兔
@Jieven 简单修改了com.eova.core.IndexController(加了一句println()),替换了eova-1.5.1.jar中的文件,但是部署后服务起不来。是因为jdk版本不一致吗?我用的1.6.0_45,请问eova-1.5.1用的哪个版本的jdk编译的?
[5楼] 瘦猪呆兔
@Jieven 试了jdk1.7,可以了^_^
提交评论
)