[ 实战] 某高校新大陆门禁人脸认证系统存在敏感信息泄露漏洞

已于 2024-01-28 17:51:46 修改
阅读量96 收藏
点赞数
文章标签: web安全 安全
于 2023-04-09 20:49:44 首次发布
Whoami? Martin
本文链接:https://blog.csdn.net/qq_51886509/article/details/129766028
版权

Github==>https://github.com/MartinxMax/NewLand_POC_TRACE

警告

该实验仅供学习,请不要以身试法!
一切未经授权的渗透行为,均属于违法行为!
此案例中所有内容已授权上报,在此将不会公开POC代码,请不要用于非法行为,否则后果自负

风险评估 <高危>

1.API泄露
2.未授权访问
3.敏感信息泄露
4.服务器注入漏洞

根据风险评估模型(DREAD)
D(3)+R(3)+E(3)+A(2)+D(2)=13
在12·15范围内,判定结果属于高危

ps:只需要对方名字和工号,即可任意用户水平越权查看该学生以及老师的敏感信息,根据敏感信息进一步修改服务器数据库中指定的参数,若管理员调用该参数则可能会触发严重的存储型xss或二次SQL注入

漏洞验证

  1. 收集信息(API泄露)
    在这里插入图片描述
    请添加图片描述

模拟攻击

将人员姓名,工号传入
请添加图片描述根据以上响应体中sfz号参数,尝试继续修改服务器参数

请添加图片描述

POC验证

#python3 TRACE.py -h

请添加图片描述#python3 TRACE.py -url http://a.com -orgid x -name xxx -id xxxxxxx

请添加图片描述

Мартин.
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【深度学习】基于Qt的人脸识别系统门禁人脸识别系统,Python人脸识别流程,树莓派
q742971636的博客
06-16 2711
常用的模型架构包括经典的卷积神经网络(Convolutional Neural Network,CNN),如VGG、ResNet、Inception等,以及一些针对人脸特征提取任务设计的模型,如SphereFace、ArcFace、CosFace等。常用的损失函数包括三元组损失(Triplet Loss)、角度间隔损失(Angular Margin Loss)等,这些损失函数能够增强同一人脸特征向量的相似性、增大不同人脸特征向量的差异性,从而提高特征的辨识度。
人脸识别 宿舍门禁系统(python qt opencv带数据库)
热门推荐
网络架构
11-21 1万+
人脸识别 宿舍门禁系统(python qt opencv带数据库)
人脸服务器如何与门禁系统对接,人脸识别门禁系统终端设备接口说明
weixin_39618169的博客
08-09 1405
1、上传识别结果人脸识别门禁系统设备识别后把识别结果上传到服务器(单包数据数量小于5条)(一)人脸识别门禁系统请求(设备->服务器):1.人脸识别门禁系统请求命令: 0x192.人脸识别门禁系统请求数据: 0xDDCC包长0x190x00000x00000x01SN16Byte二进制数据校验3.人脸识别门禁系统请求数据格式:{sn:’’count:2,logs:{[sn:’’,us...
人脸识别小区门禁系统_(完整版)小区人脸识别门禁系统
weixin_36354965的博客
12-23 8614
小区人脸识别门禁系统一、系统概述1.1方案背景随着城市的快速发展,越来越多的人涌入城市,城市治安安全问题也越来越突出,不管是在热闹的街区,繁华的商圈都存在一些不稳定因素影响着城市的治安问题。就连城市居民每天生活休息的居住小区,都开始出现了让人担心的治安问题,所以现在加强治安管理,安全防范成了社会关心、关注的问题。对于人们居住的城市社区的治安问题更是关系着整个社区居民的安定生活,是所有社区居民安心享...
人脸服务器如何与门禁系统对接,人脸识别门禁系统功能介绍
weixin_42498989的博客
08-09 3637
人脸识别门禁系统结构是在确定了 B/S 架构之后,对此信息系统的具体配置和实施进行分析,主要构想是采用局域网服务器和操作终端浏览器结合的方式,包括了局域网的服务器、服务器上的数据库、PC终端和互联网接口。人脸识别门禁系统的物理组网方式为局域网,将系统web 服务放在局域网内服务器上。再将需要使用到此系统的PC机与局域网接通,可以实现个人计算机上面浏览器与服务器之间的访问。在程序的部署上面,只需...
人脸服务器如何与门禁系统对接,人脸识别终端门禁系统解决方案
weixin_33016355的博客
08-09 2131
原标题:人脸识别终端门禁系统解决方案门禁系统解决方案 一.需求分析随着科技进步和门禁系统要求的提高,传统的门禁系统注定要被先进的智能设备淘汰。近年来,人脸识别作为人工智能技术和计算机视觉技术的典型应用,已经被大众广泛认识和接受。人脸识别智能门禁系统紧密结合行业应用特点和用户需求,在工业园、楼宇等重要卡口实施高效的人脸识别。二.解决方案人脸识别门禁管理系统,通过人脸识别门禁一体机捕捉使用者的人脸信息...
人脸识别门禁系统:基于Android的人脸识别门禁系统 毕业设计完整代码详细教程
机器学习深度学习业余选手
02-12 989
人脸识别门禁系统:基于Android的人脸识别门禁系统 毕业设计完整代码详细教程
Python开发系统实战项目:人脸识别门禁监控系统
闭关修炼——暂退
07-25 1万+
前段时间来到中关村重庆基地实训,老师要求每人提交一张本人白底免冠照片用于录入门禁监控系统,我当时想:好高级哇,一张照片就可以耶;神经网络训练模型还得好多张图片不断轮次迭代才能产生好的效果呢。当时的我非常好奇,心生崇拜之意,一直梦想着自己也能开发出这样一个系统,然而,不久之后的现在,成功了!回头再看门口那个门禁监控系统:呵~不过如此! ...
Python 基于人脸识别的实验室智能门禁系统的设计与实现
程序员徐师兄的博客
06-13 1924
1.平台的硬件环境:操作系统:Windows8存储:256GB内存:8GB数据库: mysql开发的语言: paython、Django、mySQL\2. 软件环境:电脑操作系统: Windows8网络协议: HTTP协议。
Python基于人脸识别的门禁管理系统本科毕业设计源码.zip
05-24
Python基于人脸识别的门禁管理系统源码,基于人脸识别的门禁管理系统 该项目为宿舍门禁系统管理,并额外加入宿舍管理、水电费管理、在线充值、报修管理、系统日志等多项功能等。 Django为后端、H5/CSS/JS为前端、...
基于人脸识别的门禁管理系统源码(Python+Django)高分毕业设计项目.zip
03-12
基于人脸识别的门禁管理系统源码(Python+Django)高分毕业设计项目.zip个人经导师指导并认可通过的高分毕业设计项目,主要针对计算机相关专业的正在做毕设的学生和需要项目实战练习的学习者。也可作为课程设计、期末...
人脸识别门禁系统.rar
06-19
当用户出现在摄像头前时,系统会实时捕获图像,通过比对数据库中的人脸信息来确定身份。识别过程包括预处理(如灰度化、归一化和直方图均衡化)、特征提取和匹配决策等步骤。 其次,门禁系统的硬件组成部分包括高...
人脸识别技术在高校宿舍门禁系统中的应用.pdf
09-23
"人脸识别技术在高校宿舍门禁系统中的应用.pdf" 人脸识别技术是生物识别技术的一种,近年来其应用逐渐广泛,尤其是在高校宿舍门禁系统中。人脸识别技术具有非接触性、不需要专门配合人脸采集设备、用户不需要和设备...
用Python实现基于人脸识别的门禁管理系统(附源码)
11-21
基于人脸识别的门禁管理系统 (Python+Django+RESTframework+JsonWebToken+Redis+Dlib) 该项目为宿舍门禁系统管理,并额外加入宿舍管理、水电费管理、在线充值、报修管理、系统日志等多项功能,详细见下方截图等。 ...
特洛伊木马:现代网络安全的隐形威胁
weixin_48579910的博客
08-16 682
特洛伊木马是一种伪装成合法软件或文件的恶意程序。攻击者利用这种伪装,使受害者在不知情的情况下主动安装或运行木马,从而为攻击者打开了进入目标系统的大门。与病毒不同,木马并不会自我复制,而是通过社会工程学等手段诱使用户下载和执行。特洛伊木马虽然是网络世界中的“老兵”,但其隐蔽性和多样性使得它至今仍然是网络安全的一大威胁。了解木马的工作原理和危害,并采取适当的防范措施,可以帮助我们在数字化生活中更加安全地航行。
怎么在网络攻击中屹立不倒
dexun123的博客
08-12 1096
在当今蓬勃发展的网络游戏产业中,服务器安全无疑是企业生存与发展的基石。面对互联网环境中无处不在的DDoS(分布式拒绝服务)与CC(挑战碰撞)攻击威胁,游戏服务器的防御能力与高效处理能力显得尤为重要。相较于追求综合性能平衡的普通服务器,游戏服务器必须专注于构建坚不可摧的安全防线与流畅无阻的游戏体验,以抵御外部侵扰,确保玩家沉浸于无缝的游戏世界。
2024年杭州市网络与信息安全管理员(网络安全管理员)职业技能竞赛的通知
Geek极安云科-致力于网络安全事业
08-16 626
竞赛由理论知识和操作技能两部分组成,均采用百分制,小数点后保留两位,60分(含)以上为合格。荣获竞赛一等奖、二等奖的选手,由杭州市人力社保局认定为“杭州市技术能手”,若有不符合认定条件的选手,不再递补;本次竞赛依据《网络与信息安全管理员(网络安全管理员)国家职业技能标准》三级(高级工)等级要求确定技术标准,编制技术文件和命题,适当增加相关新知识、新技术、新技能等内容。1.各区、县(市),有关产业工会,要高度重视此次竞赛,积极发动、广泛宣传、认真组织、严格选拔,推荐综合素质较好、技能水平较高的人员参赛。
【网络安全漏洞挖掘:IDOR实例
最新发布
等风来
08-19 87
点击Documents > Download后,应用程序将执行 HTTP GET 请求
ST VL53L1X ToF技术在人脸识别门禁测温系统的应用
"基于ST ToF VL53L1X的人脸识别门禁测温系统方案" 在当前的疫情防控形势下,高效且精准的体温监测变得至关重要。ST ToF VL53L1X传感器在此背景下发挥着重要作用,为人脸识别门禁测温系统提供了创新的解决方案。该...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值