突然想起5年以前一个关于用友软件的安全问题！

cpmodel

那时公司用的U821软件，本来用友软件服务端和客户端都装在我这台电脑上的，后来，另外一个部门要使用用友软件，把加密狗拿过去了。那个部门新建了一个帐套，我是不能进去的，只能用自己编的VBA程序从数据库获取数据了，因为SA是空密码嘛。但我想从软件上进去看看那个帐套，我发现电脑上还留有系统管理这个模块，于是用Admin和空密码就进入了系统管理界面，再把自己的帐号权限设为那个帐套的帐套主管！这样的话，我就可以登入那个帐套了，过了几天，那个部门发现了，可能是叫了用友公司的人过来了，用友公司的人把数据库的SA帐号加了一个密码，这样我的VBA程序就不起作用（可能用控件的方式还是可以）。但他们没想到是这个系统管理的Admin没有设密码的缘故！

tiange7801

这个安全问题其实每个单位都存在的
如果每个单位都设置的很详细的权限的话 在自己单位用起来也是很麻烦的！

cpmodel

tiange7801 发表于 2013-2-20 20:17

                               
登录/注册后可看大图

这个安全问题其实每个单位都存在的
如果每个单位都设置的很详细的权限的话 在自己单位用起来也是很麻烦的！ ...

关于这个SA空密码，我后面又遇到了一家公司用的是U890，我用的电脑不能上网，也没有用友客户端软件，USB口也被封了，电脑里面的一些配置也被禁用了，结果发现EXCEL文件里面装有VB宏编辑器，于是我写了一段EXCEL VBA代码，连接这家公司的ERP服务器，用的是SA空密码，竟然进出了，然后添加帐户，3389远程登陆，我就可以利用那台服务器上网了，SA空密码暴露安全问题，现在我在想，用友ERP软件会不会存在WEB里面常见的SQL注入？？？以后再看看用友的源代码！

lingli001

人才，只能这么评价了，搞代码的就是牛啊~~

cpmodel

cpmodel 发表于 2013-2-20 22:10

                               
登录/注册后可看大图

关于这个SA空密码，我后面又遇到了一家公司用的是U890，我用的电脑不能上网，也没有用友客户端软件，USB口 ...

都U890了，搞用友实施的都还建议SA为空密码？？？

sxl200302

好像没遇到过SA密码为空的。呵。

tiange7801

cpmodel 发表于 2013-2-20 22:10

                               
登录/注册后可看大图

关于这个SA空密码，我后面又遇到了一家公司用的是U890，我用的电脑不能上网，也没有用友客户端软件，USB口 ...

这样的安全问题不仅仅反映在用友软件上，其他的软件也是一样的
而且，更为可怕的并不是这样的密码为空的情况，而是管理程序上的缺失
例如，银行业里面的一些审批实际上是存在极大的问题的，要不一个小行长怎么能挪用那么大的巨款！

cuicx1987

SA口令和管理员账户密码都能为空？？数据被窃取活该

jackjunjun

:lol:lol:lol真难

重要的事

都是一群牛人

jon_zu

安全权限问题

朱涛

SA设置密码的话有时出现连接问题，所以用友的实施人员，一般如此，我做了多年用友实施，一直没有设置过密码

cltm2003

SA敢不设密码？当初用友的实施顾问也这么做，结果被我一顿训。哪个服务器不设sa密码我能让他的使用者想死心都有。

vichess

哈哈，把福彩的数据库改了，再打印一张

badman1566

相当值得学习