1 产品简介
私有云管理平台是一种允许企业或组织拥有并管理自己的计算资源和服务,通过虚拟化技术将计算资源、存储资源和网络资源封装成一个独立的虚拟环境,专为企业内部用户提供服务。
2 漏洞概述
私有云管理平台登录接口存在身份认证绕过漏洞,未授权的攻击者可通过修改响应包内容,直接进入后台,导致系统处于极不安全的状态。
3 复现环境
hunter :
web.title="私有云管理后台"
4 漏洞复现
登陆界面抓包改返回响应的数据
{"code":1000,"msg":"BscDYP2u0qLelgSB6XT1AxbULeN55ZayHYnmPEDnib4="}
修改响应并提交
5 修复建议
关闭互联网暴露面或修改认证代码逻辑
升级至安全版本