【漏洞复现】通达OA share身份认证绕过漏洞

最新推荐文章于 2024-05-20 20:48:19 发布
最新推荐文章于 2024-05-20 20:48:19 发布
阅读量320 收藏 1
点赞数 6
分类专栏: 漏洞复现 Web安全 通达 文章标签: 安全 web安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34780861/article/details/138183879
版权
漏洞复现 同时被 3 个专栏收录
21 篇文章 2 订阅
订阅专栏
Web安全
11 篇文章 5 订阅
订阅专栏
通达
2 篇文章 0 订阅
订阅专栏

0x01 阅读须知

“如棠安全的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他!!!”

Nx02 漏洞描述

      通达OA(Office Anywhere网络智能办公系统)是中国通达公司的一套协同办公自动化软件。通达OA /share/handle.php存在一个认证绕过漏洞,利用该漏洞可以实现任意用户登录。攻击者可以通过构造恶意攻击代码,成功登录系统管理员账户,继而在系统后台上传恶意文件控制网站服务器。

Nx03 系统指纹

鹰图:app.name="通达 OA"

Nx04 系统主页

Nx05 漏洞复现

漏洞POC请查看公众号文章详情:

【漏洞复现】通达OA share身份认证绕过漏洞

Nx05 修复建议

如棠安全
关注
  • 6
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
漏洞复现-通达OA通达OA share身份认证绕过漏洞
xiaokp7的博客
02-18 437
通达OA(Office Anywhere网络智能办公系统)是中国通达公司的一套协同办公自动化软件。通达OA /share/handle.php存在一个认证绕过漏洞,利用该漏洞可以实现任意用户登录。攻击者可以通过构造恶意攻击代码,成功登录系统管理员账户,继而在系统后台上传恶意文件控制网站服务器。
通达OA header身份认证绕过漏洞利用工具
12-25
通达OA header身份认证绕过漏洞利用脚本,可以检测漏洞是否存在并生成可用的cookie
漏洞复现通达OA share/handle.php身份认证绕过漏洞
晚风不及你
12-08 655
通达OA(Office Anywhere网络智能办公系统)是由通达信科科技自主研发的协同办公自动化软件,是与中国企业管理实践相结合形成的综合管理办公平台。通达OA为各行业不同规模的众多用户提供信息化管理能力,包括流程审批、行政办公、日常事务、数据统计分析、即时通讯、移动办公等,帮助广大用户降低沟通和管理成本,提升生产和决策效率。
通达OA 身份认证绕过漏洞复现
12-12 830
通达OA(Office Anywhere网络智能办公系统)是由北京通达信科科技有限公司自主研发的协同办公自动化软件,是与中国企业管理实践相结合形成的综合管理办公平台。
通达OA 11.5 SQL注入漏洞复现
zzf011900的博客
11-10 365
sqlmap 的payload:布尔盲注:link_type=false&slot={}&id=(SELECT (CASE WHEN (2489=2489) THEN 2 ELSE (SELECT 2530 UNION SELECT 6370) END))link_type=false&slot={}&id=2,用burp抓包。
通达OA v11.6 insert SQL注入漏洞.md
09-07
通达OA漏洞合集
通达OA v2017 video_file.php 任意文件下载漏洞.md
09-07
通达OA漏洞合集
通达OA v11.5 swfupload_new.php SQL注入漏洞.md
09-07
通达OA漏洞合集
通达OA前台任意用户登录漏洞.md
09-07
通达OA漏洞合集
RSAC 2024观察:软件供应链安全进入AI+时代
lurenjia404的博客
05-15 916
盘点RSAC会议上软件供应链安全议题的特点、趋势及启示。
安全警钟】APP如何筑起坚不可摧的防御,抵御黑客攻击?
NSME1的博客
05-20 138
做好安全防御
Web应用防火墙的重要性
XRY_XIAO的博客
05-20 339
Web应用防火墙的重要性
Llama 3 模型家族构建安全可信赖企业级AI应用之 Code Llama (一)
段智华的博客
05-17 853
1、Llama开源模型家族大模型技术、工具和多模态详解:学员将深入了解Meta Llama 3的创新之处,比如其在语言模型技术上的突破,并学习到如何在Llama 3中构建trust and safety AI。8、Llama 3中的DPO原理、算法、组件及具体实现及算法进阶:学习Llama 3中结合使用PPO和DPO算法,剖析DPO的原理和工作机制,详细解析DPO中的关键算法组件,并通过综合项目八从零开始动手实现和测试DPO算法,同时课程将解密DPO进阶技术Iterative DPO及IPO算法。
富格林:梳理可信经验保障安全
fgl100的博客
05-13 241
通过多渠道的收集和分析找到市场的波动趋势,在根据趋势的变化进行交易。如果投资者对趋势变化没有把握的话,可以多留意正规专业的交易平台讯息,一般情况下都会给大家分享市场最新的走势变化,阅读贵金属知识课堂的文章就能够知道很多基本面消息,也能学到各种技术分析方法。富格林悉知,现货黄金被视作一种稳健的投资工具,因其对抗通货膨胀和政治不确定性的能力而备受青睐。如果处于亏损状态的时候,应该保持冷静,理性分析市场波动情况,如果亏损情况严重,应该及时离场保住自己的最大利益,重新调整心态再进场。
【计算机网络】http协议的原理与应用,以及https是如何保证安全传输的
heikewhite的博客
05-14 878
TLS的全称是Transport Layer Security,即安全传输层协议,最新版本的TLS(Transport Layer Security,传输层安全协议)是IETF(Internet Engineering Task Force,Internet工程任务组)制定的一种新的协议,它建立在SSL 3.0协议规范之上,是SSL 3.0的后续版本。但是无连接有两种方式,早期的http协议是一个请求一个响应之后,直接就断开了,但是现在的http协议1.1版本不是直接就断开了,而是等几秒钟,
数智赋能内涝治理,四信城市排水防涝解决方案保障城市安全运行
rtu遥测终端机
05-20 301
四信城市排水防涝解决方案,采用先进的洪涝预测模型和智能监测设备,实现对城市内涝的精准预测和实时监控。方案通过智能化感知终端设备提升排水防涝智慧化水平,确保人民生命财产安全。四信的技术和服务已在多个城市内涝监测项目中得到应用,展现了其在城市安全运行保障方面的专业实力。
构建安全的GenAI/LLMs核心技术解密之大模型对抗攻击(五)
段智华的博客
05-16 26
构建安全的GenAI/LLMs核心技术解密之大模型对抗攻击(五)
Java应用中文件上传安全性分析与安全实践
最新发布
喔的嘛呀的博客
05-20 355
这些措施涵盖了文件路径、文件权限、目录结构、Web服务器配置等多个方面,为开发人员提供了一套全面的指南,以确保文件上传功能不仅方便实用,而且具备较高的安全性。在现代Web应用程序中,数据上传是一个普遍存在的需求,然而,随之而来的是对上传数据安全性的担忧。通过检查文件的扩展名或使用浏览器提供的API验证文件的类型,可以在文件上传之前排除不安全的文件。在Web服务器的配置中,确保上传目录是禁止目录浏览的。客户端与服务端的数据验证是确保上传数据安全性的重要步骤,可以通过一系列验证手段来防范潜在的安全威胁。
通达oa网络办公系统漏洞
01-28
通达OA网络办公系统是一种常用的办公自动化系统,它可以帮助企业实现信息化办公,提高工作效率。然而,即使是这样一种成熟的系统,也可能存在一些安全漏洞。 首先,通达OA系统可能存在身份认证漏洞,即黑客可以通过某些手段绕过系统的身份验证机制,获取未授权的访问权限。这可能会导致敏感信息的泄露或者系统被非法篡改。 其次,通达OA系统的通信安全也可能存在漏洞,例如没有加密传输机制导致数据在传输过程中容易被窃取或篡改。 此外,系统管理漏洞也是通达OA系统的一个潜在风险,不恰当的系统配置或者权限设置可能导致系统的管理者无法对系统进行有效的监控和管理,从而给黑客留下可乘之机。 针对通达OA系统的这些潜在漏洞,企业可以通过加强系统的安全设置和权限管理来降低风险。同时,定期对系统进行漏洞扫描和安全审计,及时修补系统漏洞,也是确保系统安全的重要手段。另外,公司员工也需要接受专业的安全培训,增强安全意识,避免因为人为操作而导致系统漏洞。综合来看,只有全方位的安全防护措施才能有效地保障通达OA系统的安全

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值