OA辦公室系統，入侵滲透測試服務與檢驗修復分享

          滲透測試服務，是甲方授權乙方安全公司對自身的網站，以及APP,辦公系統進行的全

面人工安全滲透，對漏洞的檢測與測試，包括SQL注入漏洞,XSS存儲漏洞，反射漏洞，邏輯

漏洞，越權漏洞，我們esafe安全公司在進行滲透測試前，是需要甲方公司的授權才能進行，

沒有授權的滲透以及網站漏洞測試在法律上來講是違法的，非法滲透帶來的一切責任與後果，

要自行承擔，需要滲透測試服務的一定要找正規的安全公司來做，以防上當。前段時間我們

esafe安全公司，收到甲方公司的滲透測試ORDER,對公司使用的OA辦公系統進行全面的安全

檢測，與漏洞測試，針對前期我們做的一些準備，與測試內容，我們來詳細跟大家分享一下

滲透測試的過程。
 
 
很多中小型企業都有自身的OA辦公系統，為了員工辦公，審批流程，工作簡化，OA系統在整

個公司裡起到了重要的扭曲作用，大大的減少了公司運營成本，溝通時間成本，促進員工更高

效的工作，在使用的過程中也帶來了很多安全的隱患，在對OA辦公系統進行滲透測試服務的

時候，我們要從以下幾個方面進行安全測試：

 
在滲透測試之前我們第一要明白，瞭解在客戶的公司內部網路中，都有使用那些辦公系統，是

使用的協力廠商公司開發的辦公系統，還是自己工程師單獨研發的，如果是自行開發的，那漏洞

會很容易的測試出來，協力廠商公司開發的相對來說漏洞沒有那麼多，需要時間與精力去進行詳

細的測試，才能發現漏洞。公司裡使用的郵件系統一般來說使用QQ企業郵箱，gmial郵箱，16

3郵箱，微軟的exchange郵箱使用的最多。

 
OA辦公系統，用友，致遠OA系統都存在遠端代碼執行漏洞，客戶目前使用的致遠OA，目前大多

數的企業都在使用的一套OA系統，我們來看下這個漏洞：通過遠端代碼執行可以直接調用CMD

命令，對當前的網站伺服器進行查看，執行管理員許可權的命令，危害較高，可以直接獲取伺服器

的管理許可權，並對OA系統的資料進行查詢，修改，資料可能會導致洩露。


 
該公司的企業OA辦公系統主要是以網站為主，人才系統，許可權系統，以及部門管理後臺，業務流

程管理，CRM，業績考核，訂單系統，售後系統，都以網站為基礎構建，網站也對外開放，任何

員工以及在任何地方，出差，手機上都可以隨時的辦公，在方便的同時，安全也面臨著嚴重的考

驗，我們esafe安全技術對整個辦公系統滲透測試發現，存在太多的漏洞，像XSS存儲漏洞，越權

漏洞，在流程管理，方案提交功能上我們發現一處重要的越權漏洞，代碼如下：
 


 
可以直接越權對方案進行控制，同意以及撤銷方案，查看其他人提交的方案，都是越權進行操作

，在正常的操作下是不允許的。還有一個未授權訪問的漏洞，可以看到很多管理員許可權下的內容

如下圖：

 

 
甲方公司使用的VPN是思科的，對VPN帳號密碼進行暴力破解的時候，有些帳號存在弱口令，被

直接猜解到，建議甲方公司加強式密碼的保護，使其密碼的強度在10位元以上，數位加字母加大小寫

組合，以上就是對客戶OA系統進行的滲透測試，大體就是以上幾個方面進行的安全滲透，包括

OA系統，以及郵件系統。如果您對自身網站以及系統的安全不放心的話，建議找專業的安全公司

來做滲透測試服務，國內esafe安全，深信服，綠盟都是比較有名的安全公司，檢查網站是否存在

漏洞，以及安全隱患，別等業務發展起來，規模大的時候再考慮做滲透測試，那將來出現漏洞，

帶來的損失也是無法估量的，網站在上線前要提前做滲透測試服務，提前找到漏洞，修復漏洞，

促使網站平臺安全穩定的運行。