⚙️ 默认配置未修改漏洞(Default Configuration Vulnerability)
✨ 漏洞简介
默认配置未修改漏洞 是指系统、服务或软件在安装部署后,仍保留厂商出厂的默认配置(默认端口、默认服务开启、默认权限、默认安全策略等),未根据实际业务需求进行安全加固。
攻击者可利用这些默认配置进行信息收集、弱口令破解、权限提升或直接控制目标系统。
这种漏洞常见于:
- Web 服务器(Apache / Nginx / IIS)
- 数据库服务(MySQL / MongoDB / Redis / PostgreSQL)
- 中间件(Tomcat / WebLogic / JBoss)
- 网络设备(交换机 / 路由器 / 防火墙)
- 开发框架(Spring Boot / Laravel / Django)
- IoT 设备、工控系统
📦 基础概念
✅ 默认配置
厂商在发布产品时,为了便于部署和测试,会设置一组通用的默认参数(端口、用户、策略),这些设置往往在生产环境中风险较高。
✅ 未修改风险
部署上线后若未修改默认配置,可能导致:
- 未授权访问(默认管理页面公开)
- 弱口令攻击(默认账号密码)
- 暴露调试信息(debug 模式)
- 过高权限(root 运行服务)
- 不必要的服务暴露(FTP/Telnet 开启)
🛠 漏洞原理
- 安装部署
- 默认端口 & 服务
- 例如 MySQL 默认 3306 端口、Redis 默认无密码。
- 默认权限
- 调试/示例内容
- 攻击利用
- 扫描目标 → 检测默认配置 → 利用弱口令或已知路径进行攻击。
🔍 攻击流程
- 信息收集
- 扫描端口(nmap、masscan)
- 指纹识别(whatweb、wappalyzer)
- 识别默认配置
- 访问默认后台路径(如
/admin/、/manager/html)
- 检查默认端口服务(如 11211、27017)
- 测试默认凭证(admin/admin、root/root)
- 漏洞利用
- 使用默认账号密码直接登录
- 调用未授权 API
- 下载配置文件、源码
- 进一步渗透
💣 漏洞实例
Tomcat 管理后台未改默认密码
用户名:admin
密码:admin
路径:http://target:8080/manager/html
MongoDB 默认无认证
Redis 默认配置
🔗 常见利用场景
- Web 应用后台(默认路径 + 默认账号密码)
- 数据库服务(默认端口 + 默认无密码)
- 中间件控制台(Tomcat、WebLogic、JBoss)
- 网络设备管理界面(路由器、交换机、摄像头)
- 工控系统 HMI(SCADA 默认认证信息)
🛡 防御措施
✅ 安装后立即修改配置
- 修改默认端口
- 修改默认管理路径
- 禁用或删除默认账户
- 修改默认密码(强密码策略)
✅ 关闭不必要的服务
- 禁用 FTP/Telnet 等明文传输服务
- 仅开启必要功能模块
✅ 权限最小化
- 服务使用普通用户运行
- 关闭 root / Administrator 直接运行服务
✅ 生产环境禁用调试
- 关闭 debug 模式
- 删除测试页面、样例数据、演示代码
✅ 配置访问控制
- 限制管理界面访问 IP
- 使用防火墙规则或 VPN 保护
🧪 检测方法
手动检测
- 查看服务配置文件(端口、认证、功能开关)
- 访问默认路径和端口测试是否可访问
- 测试默认账户和密码是否可登录
自动化检测
- 使用弱口令扫描工具(Hydra、Medusa、Ncrack)
- 端口扫描 + 指纹识别(Nmap、Whatweb)
- 专用漏洞检测工具(如 Nessus、OpenVAS)
📊 总结
| 项目 |
内容 |
| 漏洞名称 |
默认配置未修改漏洞(Default Configuration Vulnerability) |
| 危害等级 |
高危(可能直接导致系统被入侵) |
| 攻击方式 |
利用默认端口、默认服务、默认凭证、默认策略进行攻击 |
| 影响范围 |
Web 应用、数据库、中间件、网络设备、IoT、工控系统 |
| 防御手段 |
修改默认配置、禁用不必要服务、最小化权限、限制访问、关闭调试模式 |