首页 > WEB互联网 > WITPOS-3收银系统弱口令可远程操作
2016
12-19

WITPOS-3收银系统弱口令可远程操作

案例

通过shodan.io搜索关键词,得到400多个案例,如图

WITPOS-3收银系统弱口令可远程操作 - 第1张  | OuYang-Blog

由于shodan的数据比较旧,而且这些收银机通常是动态IP,所以shodan上的很多案例都无法访问,机智的博主当然不会担心这个问题了,手头上有一份比较新的IP扫描数据,自己动手丰衣足食,扫描到了一批可以访问的IP,如图

WITPOS-3收银系统弱口令可远程操作 - 第2张  | OuYang-Blog

测试

博主使用的是火狐浏览器,收银系统必须使用谷歌浏览器才能用

WITPOS-3收银系统弱口令可远程操作 - 第3张  | OuYang-Blog

搞个谷歌浏览器进行测试

WITPOS-3收银系统弱口令可远程操作 - 第4张  | OuYang-Blog

可以看到可以进行关机操作,这里尝试使用密码 admin 登录

WITPOS-3收银系统弱口令可远程操作 - 第5张  | OuYang-Blog

成功

WITPOS-3收银系统弱口令可远程操作 - 第6张  | OuYang-Blog

看到可进行各种操作

WITPOS-3收银系统弱口令可远程操作 - 第7张  | OuYang-Blog
WITPOS-3收银系统弱口令可远程操作 - 第8张  | OuYang-Blog

测试发现我扫描到的全部IP都能够登录成功

危害

像这种POS收银系统其实没有必要对外开放WEB,开放WEB的原因最常见的就是连锁店,方便总部统一查询管理,但是只用默认弱口令直接登录就不太好了,很容易被爆破,后果比较严重,篡改会员信息,营业数据等。

最后编辑:
作者:欧阳
欧阳
设计界的一只猿|平面设计|创意|WEB安全|互联网

留下一个回复

你的email不会被公开。