【漏洞复现】蜂信物联 FastBee 开源物联网平台 download 任意文件读取漏洞

于 2024-09-04 15:17:22 发布
阅读量49 收藏
点赞数 1
分类专栏: 漏洞复现 文章标签: 漏洞复现 网络安全 安全性测试 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lza20001103/article/details/141893384
版权

【漏洞复现】蜂信物联 FastBee 开源物联网平台 download 任意文件读取漏洞、

01 漏洞描述

蜂信物联 FastBee 开源物联网平台 download 接口存在任意文件读取漏洞,未经身份验证攻击者可通过该漏洞读取系统重要文件(如数据库配置文件、系统配置文件),导致网站处于极度不安全状态。

02 漏洞环境

FOFA语法:body=“FastBee物联网系统” || icon_hash=“-307138793”
在这里插入图片描述

03 漏洞复现

构造payload发送请求
在这里插入图片描述

04 漏洞修复建议

建议联系厂商进行处理

05 检查工具在这里插入图片描述

炫彩@之星
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
信物 FastBee 开源物联网平台 download 任意文件读取漏洞复现
0xSec
09-03 193
信物 FastBee 开源物联网平台 download 接口存在任意文件读取漏洞,未经身份验证攻击者可通过该漏洞读取系统重要文件(如数据库配置文件、系统配置文件)、数据库配置文件等等,导致网站处于极度不安全状态。
开源物联网平台FastBee物联网平台2.0开源版发布
开源物联网项目商业化作者
04-14 2793
物美智能(wumei-smart)更名为信物(FastBee)。FastBee开源物联网平台,简单易用,更适合中小企业和个人学习使用。适用于智能家居、智慧办公、智慧社区、农业监测、水利监测、工业控制等。系统后端采用Spring boot;前端采用Vue;消息服务器采用EMQX;移动端支持微信小程序、安卓、苹果和H5采用Uniapp;数据库采用Mysql、TDengine和Redis;设备端支持ESP32、ESP8266、树莓派、合宙等;
未公开 信物(FastBee) 物联网平台 任意文件下载漏洞
weixin_43167326的博客
09-02 480
信物(FastBee) 物联网平台 包含多协议的设备接入,设备控制、定时、定位、动、告警、监测、统计、分享等基于GB/T28181协议支持多种监控设备接入,多路视频直播、回放、录制和云台控制将图表或页面元素封装为基础组件,无需编写代码,拖拽即可完成可视化大屏业务需求。
信物(FastBee)物联网平台 download 任意文件下载
最新发布
m0_37834054的博客
09-04 35
FastBee是一款开源物联网平台,致力于为全球开发者提供稳定、高效的物网解决方案。FastBeedownload接口中存在任意文件下载漏洞,可能导致敏感信息泄露、数据盗窃及其他安全风险,从而对系统和用户造成严重危害。鹰图:body=“fastbee”&&ip.country=“CN”官方已发布补丁 请即时修复。
【物网设备端开发】FastBee Arduino固件开发指南
开源物联网项目商业化作者
03-11 807
Arduino IDE 需安装 esp8266(By ESP8266 Community v3.0.2)库,操作步骤可参考。配网成功后,返回“信物”小程序设备列表页面,可以看到设备激活成功,并处于上线状态。打开“开关”按钮,可以看到继电器指示灯闪烁了一下,表明连接成功。
IOT物网商业源码完整版下载附搭建教程
你的北音
09-11 3278
简介: 说是值2000多块钱的东西。里面是有教程搭建教程、数据库在里面,点击教程里面数据库的那个图标、精美到桌面或者其他地方就OK了,我测试后台是能进去的,前台进不去去,原因不明....感兴趣的大佬自测吧。 按道理来说,出来搭建应该的英文下面图片这样的前台看好文字哈,不确定这套程序一定是好用的(因为我也没有测试搭建出来前台,也没有看到到底前台是什么样子的。所以需要自行研究了) 源码下载地址https://www.skpan.cn/QIrW2zmmH8E 图片: ...
《物安全技术》期末复习总结
qq_53271424的博客
06-22 3014
《物安全技术》期末复习总结
FastBee开源物联网平台简单易用更适合中小企业和个人学习使用适用于智能家居智慧办公智慧社区农业监测水利监测等
04-02
信物是原物美智能更名后的开源物联网平台。它的设计简单易用,更适合中小企业和个人学习使用。该平台适用于智能家居、智慧办公、智慧社区、农业监测、水利监测、工业控制等领域。 信物的系统后端采用了...
水厂中国电信物网智能水表改造解决方案.pdf
06-14
中国电信物网智能水表改造解决方案旨在帮助水厂提升通信效率,降低通信成本,同时优化水表管理,实现远程抄表和高效运营。以下是该方案的主要内容: 1. **员工通信解决方案**: - 提供流量池管理平台,允许共享...
Hades-哈迪斯,修改属性流程以及相关文件备份
07-06
3. 使用文本编辑器打开存档:使用如Notepad++等支持大文件的文本编辑器打开`.save`文件。这个文件是JSON格式,包含所有游戏数据,包括角色属性。 4. 修改属性值:找到对应属性的键值,如"Strength"、"Endurance"、...
谈《定情诗》中的定情信物(7000字)-201810.zip
09-19
很抱歉,但根据您给出的信息,这个压缩包文件"谈《定情诗》中的定情信物(7000字)-201810.zip"的内容似乎与IT行业知识并不相关。标题和描述提到的是关于文学作品《定情诗》中定情信物的讨论,这通常涉及到文学分析...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8444
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
vulnhub靶机 DC-9(渗透测试详解)
2301_78721909的博客
08-14 609
vulnhub靶机 DC-9(渗透测试详解)
光盘安全隔离与信息单向导入系统-信刻
cdprinter的博客
08-30 123
为更多用户提供安全可靠的跨网数据单向导入/导出光盘摆渡系统解决方案,解决内外网数据交换的问题,确保数据交换过程的安全性
安全入门day.03
mxxcxy的博客
08-31 1041
Fiddler是一款强大的HTTP调试代理工具,它以代理服务器的形式工作,通过监听和记录HTTP(s)通讯,帮助用户检查、设置断点以及修改所有进出数据(如cookie、HTML、JS、CSS等文件)。Fiddler不仅简单易用,还提供了用户友好的界面和丰富的功能,如支持断点调试、请求构造、性能数据分析等,使得开发人员和测试人员能够轻松地进行Web调试和性能测试。此外,Fiddler还包含一个基于JScript .NET的事件脚本子系统,支持使用.NET框架语言进行扩展,进一步增强了其灵活性和功能性。
Python编码系列—Python中的安全密码存储与验证:实战指南
u013889591的专栏
08-27 1313
在数字化时代,密码安全是保护用户数据的首要防线。Python提供了多种工具和库来帮助开发者实现安全的密码存储与验证。本文将深入探讨Python中实现安全密码存储与验证的方法,结合实际案例来讲解。随着网络攻击的日益增多,传统的密码存储方法(如明文存储或使用弱哈希算法)已不再安全。现代Web应用需要采用更安全的策略来保护用户密码,防止数据泄露和未授权访问。安全的密码存储与验证是保护用户数据不被未授权访问的关键。通过使用Python中的hashlib库和盐值,结合密钥派生函数,可以大大提高密码的安全性
等保2.0通用部分 | 安全物理环境(三级)测评指导书
2401_84434570的博客
08-30 778
应核查机房是否不位于所在建筑的顶层或地下室,如果否,则核查机房是否采取了防水和防潮措施。a)机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火;应设置温湿度自动调节设施,使机房温湿度的变化在设备运行所允许的范围之内。2、应核查机房内设备或主要部件上是否设置了明显且不易除去的标识。2、应核查机房内是否采取了排泄地下积水,防止地下积水渗透的措施。a)应将设备或主要部件进行加固,并设置明显的不易除去的标识;c)应设置机房防盗报警系统或设置有专人值守的视频监控系统。
DNS部署与安全
m0_64827698的博客
08-28 1437
子域 二级域 顶级域 根域。本地域名服务器(代替主机迭代)去找根域名服务器——>...服务器——>权威服务 客户端。特定服务 公司或组织的名称 公司/国家/...(网站性质或地域)DNS缓存投毒(改映射)、DNS放大攻击(分布拒绝服务DDOS)、子域名劫持。主机找网关(本地域名服务器) 客户端。DNS查询(小数据包,要求速度快),www通常指公司网站的主服务器。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

炫彩@之星

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值