【漏洞复现】数字通云平台智慧政务 login 存在登录绕过漏洞

最新推荐文章于 2024-10-17 11:41:59 发布
最新推荐文章于 2024-10-17 11:41:59 发布
阅读量698 收藏 4
点赞数 12
分类专栏: 漏洞复现 文章标签: 政务 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_48368964/article/details/142600842
版权


》》》产品描述《《《

        数字通云平台智慧政务OA产品是基于云计算、大数据、人工智能等先进技术,为政府部门量身定制的智能化办公系统。该系统旨在提高政府部门的办公效率、协同能力和信息资源共享水平,推动电子政务向更高层次发展。

》》》漏洞描述《《《

        数字通云平台 智慧政务OA login接口存在未授权获取默认cookie,未经身份验证的远程攻击者可利用该漏洞伪造登录,从而接管整个系统。

》》》搜索语句《《《

Fofa:body="assets/8cca19ff/css/bootstrap-yii.css"

》》》漏洞复现《《《

访问对应网址/portal/default/login抓包获取系统接口中的默认Cookie权限值

将抓包获取到的cookie值替换到浏览器中原先的Cookie值

刷新页面直接访问ip或者 http://ip/theme/concise    免登录绕过(访问不到可能需要多访问几次 比较慢 但肯定能访问到 )

》》》修复建议《《《

系统禁用默认获取cookie接口

A 八方
关注
专栏目录
漏洞复现】泛微OA E-Cology getdata.jsp SQL注入漏洞
alert['Hello World']
07-18 567
泛微OA E-Cology getdata.jsp 接口存在一个 SQL 注入漏洞过这个漏洞可以操纵服务器的数据库。这意味着不法分子可以利用这个漏洞来获取对数据库的完全控制权,从而查看、修改甚至删除数据库中的数据,严重威胁系统的安全性。
数字云平台 智慧政务 /sys/mobile/setting 文件上传致RCE漏洞复现
0xSec
08-29 184
数字云平台 智慧政务 /sys/mobile/setting 接口存在任意文件上传漏洞,未授权的远程攻击者可构造恶意请求绕过身份认证,过该漏洞在服务器端任意执行代码,写入后门,获取服务器权限,进而控制整个web服务器。
数字指尖云平台智慧政务login存在登录绕过漏洞
weixin_43167326的博客
09-24 1003
中科数字(北京)科技有限公司全新架构的智慧办公系统,由9大类、50多个主要功能模块构成。旨在为组织单位内部提供全新一代智慧型协同办公系统,数字指尖云平台-智慧政务存在登录绕过漏洞
数字云平台智慧政务 login 存在登录绕过
iSee857的博客
09-23 739
数字云平台智慧政务OA产品是基于云计算、大数据、人工智能等先进技术,为政府部门量身定制的智能化办公系统。该系统旨在提高政府部门的办公效率、协同能力和信息资源共享水平,推动电子政务向更高层次发展。数字云平台 智慧政务OA login接口存在未授权获取默认cookie,未经身份验证的远程攻击者可利用该漏洞伪造登录,从而接管整个系统。该漏洞是由于系统中存在默认cookie获取接口导致的权限绕过。系统禁用默认获取cookie接口。将cookie 写入到浏览器中。
数字云平台 智慧政务 PayslipUser SQL注入漏洞复现
0xSec
07-17 1391
数字云平台 智慧政务OA PayslipUser 接口存在SQL注入漏洞,未经身份验证的远程攻击者除了可以利用SQL注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。
漏洞复现-用友UFIDA-YongYou系列
aming小老弟
10-03 1890
UFIDA是中国的一家知名企业软件公司,全称为用友软件股份有限公司(Yonyou Software Co . , Ltd . )。该公司成立于 1988 年,总部位于北京,是中国领先的企业管理软件和云服务提供商之一。UFIDA主要专注于开发和提供企业级软件解决方案,包括财务管理、人力资源管理、采购管理、销售管理、供应链管理、生产制造管理等。它的产品被广泛应用于各种行业,如制造业、服务业、金融业、医疗保健和公共事业等。UFIDA致力于帮助企业提高管理效率、优化业务流程,并提供数据分析和决策支持工具。
9月末-10月初新增漏洞汇总|威胁情报第|漏洞订阅
weixin_43167326的博客
10-10 669
技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他!!!
一些不错的网页
墨鱼菜鸡
12-06 2432
http://www.zhengdazhi.com/archives/1749 书签栏 信息收集 二级域名查询,子域名查询-站长帮手网 ZoomEye - Cyberspace Search Engine 360威胁情报中心 SSL证书在线检测工具-中国数字证书CHINASSL ...
飞企互联-FE企业运营管理平台 多处登录绕过漏洞复现
0xSec
12-28 1802
飞企互联-FE企业运营管理平台2.ln、loginService.fe等接口处存在登录绕过漏洞,未授权的攻击者可构造恶意的url访问页面,可直接进入后台管理页面,获取敏感信息,进一步利用可控制整个服务器。
金蝶云星空RCE漏洞复现
热门推荐
0xSec
06-21 1万+
由于金蝶云星空数据信默认采用的是二进制数据格式,需要进行序列化与反序列化,在此过程中未对数据进行签名或校验,导致客户端发出的数据可被攻击者恶意篡改,写入包含恶意代码的序列化数据,达到在服务端远程命令执行的效果。该漏洞不仅存在于金蝶云星空管理中心(默认8000端口),普应用(默认80端口)也存在类似问题。
Alibaba Nacos权限认证绕过漏洞复现
千寻的博客
01-25 7899
文章目录漏洞描述影响范围漏洞类型环境搭建第一步 下载第二步 解压tai.zip文件第三步 进入解压后的macos的bin目录第四步 清除windows启动脚本第五步 启动单节点模式漏洞复现第一步 访问“查看用户列表”界面第二步 访问添加用户界面,添加用户第三步 登录testa/testqwe保存添加用户的poc,进行利用修复建议摘抄 漏洞描述 2020年12月29日,Nacos官方在github发布的issue中披露Alibaba Nacos 存在一个由于不当处理User-Agent导致的未授权访问漏洞
CVE-2022-40684 Fortinet多个产品身份验证绕过漏洞复现
热爱学习,喜欢折腾!
10-16 1438
Fortinet FortiOS是美国飞塔(Fortinet)公司的一套专用于FortiGate网络安全平台上的安全操作系统。该系统为用户提供防火墙、防病毒、IPSec/SSLVPN、Web内容过滤和反垃圾邮件等多种安全功能。FortiProxy 为网站和基于云的应用程序提供安全 Web 网关、安全功能、无与伦比的性能以及最佳用户体验。
基于SSM党务政务服务热线管理系统的设计
最新发布
2401_87849773的博客
10-17 318
管理员账户功能包括:系统首页,个人中心,用户管理,部门管理,办事信息管理,信息记录管理,系统管理。主要技术:Java,Spring,mybatis,mysql,jquery,html。前台账号功能包括:系统首页,个人中心,部门,信息记录,后台管理。服务器:SpringBoot自带 apache tomcat。JDK版本:Java JDK1.8。数据库可视化工具: navicat。数据库版本: mysql5.7。开发工具:IDEA(推荐)开发系统:Windows。
PHP政务招商系统——高效连接共筑发展蓝图
2401_84593568的博客
10-14 535
综上所述,政务招商系统作为政府与投资者之间的桥梁和纽带,在推动地方经济发展中发挥着举足轻重的作用。它不仅提高了招商的效率和成功率,也优化了招商环境和服务质量。如果你正在寻找投资机会或希望推动地方经济发展,不妨关注并了解政务招商系统,相信它会为你带来更多的惊喜和机遇!
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值