网康NS-ASG应用安全网关listloginfo.php sql注入CVE-2024-3041(含批量验证poc)

已于 2024-05-11 14:44:28 修改
阅读量29 收藏
点赞数
分类专栏: 漏洞复现 文章标签: 安全 php sql web安全
于 2024-05-11 14:44:11 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43567873/article/details/138715459
版权

简介

网康应用安全网关(NS-ASG)是一款软硬件一体化、性能卓越、集SSL与IPSec于一体的应用安全接入产品。它不仅从全链条上保障业务访问的安全性,还以极其简单的方式适配所有移动终端,更有多种链路均衡和选择技术保障使用体验。

漏洞描述

Netentsec NS-ASG Application Security Gateway 6.3中发现了一个关键漏洞,影响文件/protocol/log/listloginfo.php的未知代码。攻击者可利用该漏洞进行SQL注入攻击,并可以远程发起攻击。该漏洞已被公开披露并可能被利用。

漏洞编号与披露时间

漏洞编号:CVE-2024-3041
披露时间:03/28/2024

影响版本与影响数量

影响版本:Netentsec NS-ASG Application Security Gateway 6.3
Fofa:

app="网康科技-NS-ASG安全网关"


影响数量:276

了解本专栏 订阅专栏 解锁全文 超级会员免费看
今天晚上早睡觉
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
订阅专栏
TPLink-NGFW-GWLB-ASG-v3.1_CJ.yml
07-12
TPLink-NGFW-GWLB-ASG-v3.1_CJ.yml
NS-ASG安全网存在远程命令执行漏洞 复现
薛定谔嘚喵博客
10-09 355
应用安全网系统 存在远程命令执行漏洞 ,攻击者通过漏洞可以执行任意命令,导致服务器失陷。
科技 NS-ASG 应用安全网 SQL注入漏洞(CVE-2024-2022)
wan___she__pi的博客
03-26 621
科技的NS-ASG 应用安全网是一种络设备,旨在保护企业的络和应用免受各种络威胁和攻击。它结合了防火墙、入侵检测和防御系统(IDS/IPS)、反病毒、反垃圾邮件、VPN(虚拟专用络)等功能,提供全面的应用层安全保护。科技 NS-ASG Application Security Gateway 6.3存在一个SQL注入漏洞,由于/admin/list_ipAddressPolicy.php中对参数GroupId没有进行严格的过滤和校验,造成数据库信息泄露。
【漏洞复现】科技 NS-ASG 应用安全网 SQL注入漏洞(CVE-2024-2022)
weixin_52204925的博客
03-07 777
科技 NS-ASG Application Security Gateway 6.3存在一个SQL注入漏洞,由于/admin/list_ipAddressPolicy.php中对参数GroupId没有进行严格的过滤和校验,未经身份验证的攻击者可以远程发起攻击获取服务器敏感数据。
科技 NS-ASG 应用安全网 SQL注入漏洞复现(CVE-2024-2330)
0xSec
03-12 526
​由于科技 NS-ASG 应用安全网/protocol/firewall/uploadmacbind.php文件没有对用户输入的参数进行严格的校验和过滤,如下导致输入的语句直接插入到数据库执行造成SQL注入,未经身份验证的攻击者可以远程发起攻击获取服务器敏感数据。
NS-ASG应用安全网list_ipAddressPolicy.php sql注入CVE-2024-2022)
weixin_43567873的博客
03-07 176
NS-ASG应用安全网list_ipAddressPolicy.php sql注入CVE-2024-2022)
02-AWS-CLI-EC2-ELB-ASG-CloudWatch操作指南-v1.0.pdf
03-17
AWS-CLI-EC2-ELB-ASG-CloudWatch操作指南 核心指导文档
terraform-aws-asg-dns-handler:Terraform模块,用于根据AWS Auto Scaling组中实例上的模式动态设置主机名
02-04
要求 0.12+ 2.0+用法创建一个ASG并设置asg:hostname_pattern标签,例如: asg-test-#instanceid.asg-handler-vpc.testing@Z3QP9GZSRL8IVA可以像这样在Terraform中插值: tag { key = " asg:hostname_pattern
terraform-aws-asg:Terraform AWS Auto Scaling堆栈
02-04
先决条件预先配置的AWS VPC要求Terraform 0.8.0或更高版本AWS提供商组模块组模块将提供安全组,启动配置和自动扩展组资源。 ELB和简单组配置均受支持。输入变量资源标签stack_item_fullname此堆栈项目的长格式描述性...
endurox-go:Go应用程序服务器(ASG)
03-14
GO应用程序服务器(ASG) 版本:2.0.0-使用对象模式API。 ASG是Golang的应用程序服务器,它可以处理Golang中的分布式事务。 可以在不中断服务的情况下重新加载应用程序组件。 基本上,系统是面向服务的,服务器...
【架构-16】安全架构设计理论
qq_45611002的博客
05-14 456
攻击者的目的只是获取信息,不会改变信息或危害系统。(络监听、信息截取、流量分析):可能改变信息或危害系统的攻击就是主动攻击。安全服务和安全机制的对应系。信息安全体系结构示意图。
怎样使用安全组?
最新发布
2301_78491269的博客
05-23 289
目前,VPC 类型实例的数量上限是 2000,对所有 VPC 类型实例的安全组都生效。需要注意的是,上限 2000 指的是所有实例包的私 IP 个数(主卡和辅助卡共享此配额),而不是实例个数。说明:目前,一个实例中的每个弹性卡默认最多可以加入 5 个安全组,所以一个实例的每个弹性卡最多可以包 500 条安全组规则,能够满足绝大多数场景的需求。不可以,每个安全组最多可以包 100 条安全组规则。如果不存在冗余规则,请拆分安全组。每个安全组的入站规则与出站规则的总数不能超过 100。
服务器漏洞安全修复记录
lxw1844912514的博客
05-22 365
Redis中线上使用keys *命令是非常危险的,应该禁用或者限制使用这些危险的命令,可降低Redis写入文件漏洞的入侵风险。描述:设置密码失效时间,强制定期修改密码,减少密码被泄漏和猜测风险,使用非密码登陆方式(如密钥对)请忽略此项。例如,在一个简单的 bash 脚本中,你可以检查用户输入的命令,如果是。重命名为一个难以猜测的命令,以此来减少恶意用户利用默认命令执行未授权操作的风险。但是,需要注意的是,Redis 并没有提供完全禁用命令的机制。命令,你可以考虑修改 Redis 源代码,从源头上移除。
RSA与AES:打造高效且超安全的混合加密方案
那仰望的人,心底的孤独和叹息
05-19 558
RSA结合AES混合加密,实现加密账号密码等,工具类代码。 RSA是**非对称加密**的一种,具有两个密钥:公共密钥和私有密钥。公钥和私钥是一对,公钥加密后的内容只有私钥才能解密。两个密钥的不同,所以是非对称的。
肯尼亚大坝决堤反思:强化大坝安全监测的必要性
yousino1的博客
05-23 434
峟思水库大坝安全监测传感器及数据采集系统,可以根据大坝工程的等级和实际情况,设立巡视检查、变形、渗流、水文气象监测及专项监测项目等,结合数据采集系统对数据进行储存、计算,做出大坝安全数据分析,为工程施工及运行管理人员提供数据支持和判断依据。我们需要加强大坝安全监测系统的建设和管理,采用先进的监测技术和设备,提高大坝安全监测的准确性和可靠性。3. 坝体变形监测:通过安装位移传感器、应变传感器等设备,实时监测坝体的变形情况,及时发现坝体裂缝、位移等异常情况。点击输入图片描述(最多30字)
如何保护主机的安全
wanhengwangluo的博客
05-23 591
提高主机安全性中必不可少的则是需要定期备份重要数据,为了防止遭到络攻击造成数据丢失或损坏的情况,在进行数据备份的同时,需要确保备份数据的安全性,进行定期测试备份数据的可恢复性。对于提高主机的安全性我们可以安装正规安全的防火墙措施,使用防火墙可以用来监控和过滤络流量,阻止一些不良流量的访问,同时管理员也需要定期更新防火墙规则,并且避免使用默认设置。以上就是小编今天分享的内容了,如果还想了解更多内容,或者对服务器感兴趣的话,可以持续注万恒络科技,对于不了解和需要进行咨询的地方,也可以私信或评论小编!
绿联硬盘数据恢复方法:安全、高效找回珍贵数据
yqssjhf的博客
05-23 1131
在数字化时代,硬盘承载着大量的个人和企业数据,一旦数据丢失或损坏,后果往往不堪设想。绿联硬盘以其稳定的性能和良好的口碑赢得了众多用户的信赖,但即便如此,数据恢复问题仍然是用户可能面临的一大挑战。本文将为您详细介绍绿联硬盘数据恢复的方法,希望能帮助您安全、高效地找回珍贵数据。
毫米波雷达模块在智能家居安全系统中的键技术分析
MinewSemi2022的博客
05-22 374
毫米波雷达技术是一种利用毫米波进行无线通信和感知的技术,其工作原理是通过发送和接收毫米波信号,然后分析信号的反射、散射等信息,从而实现对目标物体的探测和跟踪。毫米波雷达技术作为智能家居安全系统中的键技术之一,其应用已经取得了一定的成就,并且在未来有着广阔的发展前景。毫米波雷达模块推荐使用MS72SF1,这是一款60G的毫米波雷达模块,相对于传统视觉、红外、激光等感知手段,毫米波雷达不受光照影响,能够全天时实现无感主动对室内人员感知监测,且具有个人隐私保护功能,是目前家居场景应用最佳传感器。
汇编代码_sub_3E99E3: .asmfunc .asg 0, var_0 .asg -2, var_2 .asg -5, var_5 .asg -6, var_6 .asg -7, var_7 .asg -8, var_8 .asg -9, var_9 .asg -0Ah, var_A .asg -0Bh, var_B .asg -0Ch, var_C .asg -0Dh, var_D .asg -0Eh, var_E .asg -0Fh, var_F .asg -10h, var_10 .asg -11h, var_11 .asg -12h, var_12 addb SP,#20转成C语言应该如何定义变量
07-08
根据给出的汇编代码,可以将其转换为以下的C语言定义变量: ```c char var_0; short var_2; char var_5; char var_6; char var_7; char var_8; char var_9; char var_A; char var_B; char var_C; char var_D; char var_E; char var_F; char var_10; char var_11; char var_12; ``` 这里假设在汇编代码中使用的 `.asg` 指令是用于定义变量并为其分配内存空间的指令。根据 `.asg` 指令后面的指定值,我们可以确定每个变量的数据类型和相应的大小。请注意,这里将所有的变量都定义为 `char` 类型,因为它们在汇编代码中被分配的大小都是一个字节。如有必要,你可以根据实际情况调整变量的数据类型。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值