某赛通电子文档安全管理系统uploadfilefromclientserviceforclient文件上传漏洞

最新推荐文章于 2024-07-10 17:36:46 发布
最新推荐文章于 2024-07-10 17:36:46 发布
阅读量82 收藏
点赞数 4
分类专栏: 漏洞复现 文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43567873/article/details/136875462
版权

0x01 产品介绍

某赛通电子文档安全管理系统(简称:CDG)是一款电子文档安全加密软件,该系统利用驱动层透明加密技术,通过对电子文档的加密保护,防止内部员工泄密和外部人员非法窃取企业校心重要数据资产,对电子文档进行全生命周期防护,系统具有透明加密、主动加密、智能加密等多种加密方式,用户可根据部门涉密程度的不同(如核心部门和普通部门),部署力度轻重不一的梯度式文档加密防护,实现技术、管理、审计进行有机的结合,在内部构建起立体化的整体信息防泄露体系,使得成本、效率和安全三者达到平衡,实现电子文档的数据安全。

0x02 漏洞概述

uploadfilefromclientserviceforclient存在文件上传漏洞,攻击者可利用该漏洞上传任意文件,进而获取服务器权限。

搜索语法
fofa语法查找:app=”某赛通-电子文档安全管理系统”

0x03 漏洞复现

poc:

POST /CDGServer3/UploadFileFromClientServiceForClient?AHECJIIACHMDAPKFAPLPFJPJHAHIDMFNKENDCLKLHFEKNDMAHGHOJBPEBEBCNIODHIKOBGFOMCPECDMKOHHIKOIPOPMMIOJDEACILAMPMLNLMELAMHAGGJMDLBCGCECCPKMMEIOKCBDGKHPDPFMLNPEKJHDEHNHFHILECBAJELDJNDBAEHOIIKDMHGOEHBIBHCAMDBBLHJGNCCPKDGLABEFHOKDPAKDCMIOHIFJAGCBPOMIKLMGBAGCNBGEGNKGABCOKEIJCMOMKEAKDALJEHMEIPHLLBJPCJIIPAFACIJKGABA
了解本专栏 订阅专栏 解锁全文 超级会员免费看
今天晚上早睡觉
关注
  • 4
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
订阅专栏
亿赛通电子文档安全管理系统UploadFileFromClientServiceForClient接口存在任意文件上传漏洞 附POC
nnn2188185的博客
11-23 339
亿赛通电子文档安全管理系统UploadFileFromClientServiceForClient接口存在任意文件上传漏洞 附POC
centos云服务器安装cs(cobaltstrike4
2401_84253380的博客
04-26 292
wget https://repo.huaweicloud.com/java/jdk/8u201-b09/jdk-8u201-linux-x64.tar.gz #下载jdk压缩包tar -zxvf jdk-8u201-linux-x64.tar.gz #解压解压完之后生成一个jdk1.8.0_201文件mv jdk1.8.0_201 /usr/local/jdk1.8/ #把jdk1.8.0_201文件移动到usr/local/jdk1.8/目录下配置环境变量。
亿赛通电子文档安全管理系统UploadFileFromClientServiceForClient接口存在任意文件上传漏洞 附POC_漏洞代码 cvvd-2024-59471
2401_84301227的博客
05-08 659
微信公众号搜索:南风漏洞复现文库 该文章 南风漏洞复现文库 公众号首发。
某赛通电子文档安全管理系统任意文件上传漏洞复现
0xSec
08-16 5831
某赛通电子文档安全管理系统UploadFileFromClientServiceForClient、/CDGServer3/DecryptApplicationService2、/CDGServer3/fileType/importFileType.do等接口处存在任意文件上传漏洞,未经授权的攻击者可通过此漏洞上传恶意后门文件,从而获取服务器权限。
某赛通电子文档安全管理系统 PolicyAjax SQL注入漏洞复现
0xSec
01-31 772
由于某赛通电子文档安全管理系统PolicyAjax处的id参数处对传入的数据没有预编译和充足的校验,导致该接口存在SQL注入漏洞,未授权的攻击者可获取数据库敏感信息。
某赛通电子文档安全管理系统 44处 反序列化RCE漏洞复现
0xSec
02-01 1471
某赛通电子文档安全管理系统 多处接口处存XStream反序列化远程代码执行漏洞,未经身份验证的攻击者可通过该漏洞在服务器端任意执行代码,写入后门,获取服务器权限,进而控制整个web服务器。
亿赛通电子文档安全管理系统 文件上传
08-17 1186
亿赛通电子文档安全管理系统(简称:CDG)是一款电子文档安全加密软件,该系统利用驱动层透明加密技术,通过对电子文档的加密保护,防止内部员工泄密和外部人员非法窃取企业核心重要数据资产,对电子文档进行全生命周期防护,系统具有透明加密、主动加密、智能加密等多种加密方式,用户可根据部门涉密程度的不同(如核心部门和普通部门),部署力度轻重不一的梯度式文档加密防护,实现技术、管理、审计进行有机的结合,在内部构建起立体化的整体信息防泄露体系,使得成本、效率和安全三者达到平衡,实现电子文档的数据安全
某赛通电子文档安全管理系统-多个接口存在-注入漏洞复现-1day未公开漏洞
weixin_43167326的博客
02-01 366
某赛通Sql注入漏洞新接口
某赛通电子文档安全管理系统 hiddenWatermark/uploadFile 文件上传漏洞复现
0xSec
01-26 890
某电子文档安全管理系统 hiddenWatermark/uploadFile接口处存在文件上传漏洞,攻击者可通过该漏洞在服务器端任意执行代码,写入后门,获取服务器权限,进而控制整个web服务器。
针对被易赛通数据泄露防护客户端加密的文件的解密思路
01-06
针对被易赛通数据泄露防护客户端加密的文件的解密思路 本文主要讨论了如何对被易赛通数据泄露防护客户端加密的文件进行解密的思路。由于工作中需要处理敏感数据,公司要求电脑上必须安装易赛通数据泄露防护客户端,...
钓赛通-钓鱼比赛计分软件系统
10-21
钓赛通-是一个全平台的钓鱼比赛计分排名软件(公益项目,永久免费)。共支持(安卓手机,苹果手机,IPad,电脑PC,微信小程序)它功能强大,使用方便。 从钓鱼比赛的报名,比赛签到,比赛抽签,比赛成绩计分,比赛排名...
易赛通解密工具支持rar压缩包解密
11-05
1.可以选择文件或选择文件夹 2.点击还原文件按钮即可 3.点击打开文件目录按钮,如果选择文件则在文件中查找,文件夹同理,找到对应解密的文件即可 注意: 1.本工具软件支持rar压缩包,其他不支持,也没必要支持,...
h5xl:将 HDF5 文件转换为 Excel 工作簿
07-10
h5xl 将 HDF5 文件转换为 Excel 工作簿 h5xl会将 HDF5 文件中的任h5xl或二维数据集转换为 Excel 工作表。 它将以数据集的路径命名工作表,用'.'替换'/'字符'.' . 具有复合 dtypes 的数据集将在工作表的第一行中反映...
protocyt:使用cython将protobuf文件编译成python扩展模块
05-30
测试 运行测试的标准方法: python -m protocyt.tests.test_main 使用nose运行测试: nosetests protocyt --with-doctest --with-coverage --cover-package=protocyt ...赛通 >= 0.13 jinja2 >= 2.5 参数解析
医疗器械网络安全 | 漏洞扫描、渗透测试没有发现问题,是否说明我的设备是安全的?
最新发布
网 安 云
07-10 484
尽管漏洞扫描、模糊测试和渗透测试在评估系统安全性方面是非常重要和有效的工具,但即使这些测试没有发现任何问题,也不能完全保证您的医疗器械是绝对安全的。网安云,目针对医疗器械海外国内注册、变更推出网络安全解决方案,专业安全专家与法规研究团队对国内、美国、欧盟等国家医疗器械注册网络安全要求进行深入钻研,为客户定制化网络安全方案,帮助客户为设备注册、上市出具符合法规要求的网络安全文件。综上所述,虽然漏洞扫描、模糊测试和渗透测试是评估医疗器械安全性的重要手段,但它们并不能完全保证系统的安全。医疗器械网络安全顾问。
【网络安全】实验七(ISA防火墙的规则设置)
Elena's Blog
07-07 1070
(1)将host1的IP地址设置为172.16.学号.学号(2)将host2的IP地址设置为172.16.学号.1学号(3)将防火墙的内网IP地址设置为172.16.学号.250,IP地址设置为192.168.17.1学号(4)在防火墙上配置路由功能,并使内、外网之间能互相PING通(1)(2)(3)(4)
网络安全(黑客)自学
白帽子凯哥聊黑客
07-02 1134
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。无论网络、Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如 Web 安全技术,既有 Web 渗透,也有 Web 防御技术(WAF)。作为一个合格的网络安全工程师,应该做到攻守兼备,毕竟知己知彼,才能百战百胜。
网络安全概述
huangheping0803的博客
07-07 632
A询问B的MAC地址时,Hacker冒充B给A回MAC地址,之后A发给B的数据都会发给Hacker。传播方式:钓鱼邮件,蠕虫试传播,恶意软件捆绑,暴力破解,Exploit Kit分发........(3)看不见内网潜藏风险——黑客留后门,封装在正常协议里面的异常数据······(2)看不见新型威胁——水坑攻击,鱼叉邮件,零日漏洞·······信息安全:防止任何对数据进行未授权访问的措施,或者防止造成信息有意无意泄露,破坏,丢失等问题的发生,让数据处于远离危险,免于威胁的状态或特征。
pythoin 调用易赛通解密
01-11
易赛通是一种加密算法,用于加密和解密数据。Python作为一种强大的编程语言,可以轻松调用易赛通解密算法来解密数据。 要在Python中调用易赛通解密,首先需要安装易赛通解密模块。可以通过以下步骤来安装: 1. 打开终端或命令提示符。 2. 输入命令"pip install yisaitong",并按下回车键。 3. 等待安装完成。一旦安装成功,就可以在Python中调用易赛通解密模块了。 安装完成后,可以使用以下代码示例来调用易赛通解密算法解密数据: ```python import yisaitong encrypted_data = "加密后的数据" decrypted_data = yisaitong.decrypt(encrypted_data) print("解密后的数据:" + decrypted_data) ``` 在上面的代码中,首先导入了易赛通模块。然后,将加密后的数据作为参数传递给`yisaitong.decrypt()`函数,该函数将返回解密后的数据。最后,将解密后的数据打印出来。 需要注意的是,调用易赛通解密模块之前,可能需要提供一些密钥或其他参数,具体要根据使用的易赛通解密算法来确定。这些信息可以在调用解密函数之前进行设置。 总之,使用Python调用易赛通解密可以轻松实现数据的解密操作,从而保护数据的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值