视频监控汇聚平台EasyCVR未授权访问用户信息泄漏复现 [附POC]

已于 2023-10-26 18:03:19 修改
阅读量355 收藏
点赞数 7
分类专栏: 漏洞复现 文章标签: 系统安全 安全 web安全 网络安全
于 2023-10-26 17:41:31 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_48539059/article/details/134060536
版权
本文详细介绍了视频监控汇聚平台EasyCVR存在的未授权访问用户信息泄漏问题,包括漏洞描述、影响版本、复现步骤,以及如何通过POC验证漏洞存在,并提到了潜在的安全风险。
摘要由CSDN通过智能技术生成

文章目录

视频监控汇聚平台EasyCVR未授权访问用户信息泄漏复现 [附POC]

0x01 前言

免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用!!!

0x02 漏洞描述

EasyCVR智能边缘网关是TSINGSEE青犀视频旗下一款软硬一体的产品,可提供多协议的设备接入、采集、AI智能检测、处理、分发等服务。通过对视频监控场景中的人、车、物等进行AI检测与抓拍,对异常情况进行智能提醒和通知,可广泛应用于安防监控、智能检测、通行核验等场景。

EasyCVR智能边缘网关存在userlist 信息泄漏,攻击者可以直接登录后台,进行非法操作。

0x03 影响版本

EasyCVR智能边缘网关

0x04 漏洞环境

FOFA语法:title=“EasyCVR”

了解本专栏 订阅专栏 解锁全文 超级会员免费看
gaynell
关注
专栏目录
订阅专栏
【1day】复现EasyCVR智能边缘网关 userlist 信息泄漏漏洞
记录并分享学习安全的知识点..
10-04 294
EasyCVR智能边缘网关是一种基于边缘计算和人工智能技术的设备,旨在提供高效的视频监控智能分析解决方案。它结合了视频监控摄像头、计算能力和网络连接,能够在现场进行视频数据处理和分析,减轻对中心服务器的依赖。EasyCVR智能边缘网关 存在userlist 信息泄漏,攻击者可以直接登录后台,进行非法操作。
漏洞复现】WVP视频平台授权漏洞
晚风不及你
06-11 724
WVP视频平台api/user存在授权访问漏洞,攻击者可利用漏洞获取当前系统管理员用户名及密码进行登录系统。
AI视频融合平台EasyCVR调用接口鉴权提示“无权限操作”是什么原因?
EasyCVR视频融合云平台的技术博客
04-25 304
中间件的功能是需要获取session会话中的用户登录名,但是接口通过token是没有session会话的,所以无法通过鉴权。
漏洞复现--EasyCVR智能边缘网关授权访问
qq_53003652的博客
10-10 425
EasyCVR智能边缘网关是TSINGSEE青犀视频旗下一款软硬一体的产品,可提供多协议的设备接入、采集、AI智能检测、处理、分发等服务。该设备userlist接口存在信息泄露,攻击者可获得md5加密后的密码以进行后续测试。–EasyCVR智能边缘网关
GB28181摄像头管理平台WVP视频平台SQL注入漏洞复现 [POC]
最新发布
薛定谔嘚喵博客
07-26 657
GB28181摄像头管理平台WVP视频平台存在SQL注入漏洞,攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。
EasyCVR智能边缘网关用户信息泄漏漏洞
weixin_44304678的博客
11-02 284
EasyCVR智能边缘网关是一种基于边缘计算和人工智能技术的设备,旨在提供高效的视频监控智能分析解决方案。它结合了视频监控摄像头、计算能力和网络连接,能够在现场进行视频数据处理和分析,减轻对中心服务器的依赖。EasyCVR智能边缘网关存在userlist 信息泄漏,攻击者可以直接登录后台,进行非法操作。
EasyCVR智能边缘网关授权访问用户信息泄露漏洞
CommputerMac的博客
10-09 782
EasyCVR智能边缘网关是TSINGSEE青犀视频旗下一款软硬一体的产品,可提供多协议的设备接入、采集、AI智能检测、处理、分发等服务。通过对视频监控场景中的人、车、物等进行AI检测与抓拍,对异常情况进行智能提醒和通知,可广泛应用于安防监控、智能检测、通行核验等场景。或浏览器直接访问路径 /api/v1/userlist?EasyCVR智能边缘网关存在userlist 信息泄漏,攻击者可以直接登录后台,进行非法操作。然后将md5加密后的密码解密。
EasyCVR视频管理平台 授权访问漏洞复现
10-18 524
EasyCVR是一款智能、全面的安防视频监控平台,由青犀视频的TSINGSEE团队开发和维护。该平台旨在帮助大中型用户实现跨区域网络化视频监控的集中管理,具有信息资源管理、设备管理、用户管理、网络管理以及安全管理等一系列功能。
视频融合平台EasyCVR激活码授权不成功的原因排查与解决
EasyCVR视频融合云平台的技术博客
06-27 120
平台运行正常,且授权信息准确的条件下,用户若出现授权无效的情况,可以先确认服务器时间是否正确。
全程云OA授权访问+SQL注入漏洞复现 [POC]
薛定谔嘚喵博客
02-01 261
由于全程云oa办公系统/oa/pm/svc.asmx?op=GetUsersInfo接口访问之后可以发现获取用户信息接口中userIdList参数存在SQL注入,经过验证SOAP1.1和SOAP1.2两个请求示例数据包均存在。以及/OA/common/mod/ajax.ashx该ajax接口中使用POST传参时存在dll、class、method和id四个参数,其中id参数存在SQL注入,可以通过显错获取数据库信息。
Celery 4.0 Redis授权访问+Pickle反序列化利用(celery3_redis_unauth)POC
09-29
Celery 4.0 Redis授权访问+Pickle反序列化利用(celery3_redis_unauth)exploit Celery 版本默认使用Pickle进行任务消息的序列化传递,当所用队列服务(比如Redis、RabbitMQ、RocketMQ等等等)存在授权访问问题...
EasyCVR 视频管理平台存在用户信息泄露(含批量验证poc
weixin_43567873的博客
04-18 89
EasyCVR 视频管理平台存在用户信息泄露(含批量验证poc
鸿运主动安全监控云平台任意文件下载漏洞复现 [POC]
薛定谔嘚喵博客
10-25 745
监控云平台实现对计算资源、存储资源、网络资源、云应用服务进行7*24小时全时区、多地域、全方位、立体式、智能化的IT运维监控,保障IT系统安全、稳定、可靠运行。 深圳市强鸿电子有限公司鸿运主动安全监控云平台存在任意文件下载漏洞,攻击者可通过此漏洞获得登录账号密码,以进行后续测试。
EasyCVR加密机授权出现报错问题的排查解决及注意事项
EasyCVR视频融合云平台的技术博客
09-13 200
如有用户出现上述同样的情况,可参照该方法进行配置。若有无法解决的问题,可联系我们协助排查。
漏洞复现:WVP-GB28181摄像头管理平台 user 信息泄露
weixin_42207802的博客
05-17 457
漏洞复现:WVP-GB28181摄像头管理平台 user 信息泄露。
某购物商城系统commodtiy接口处存在任意文件上传漏洞
weixin_43167326的博客
05-10 895
某购物商城系统commodtiy接口处存在任意文件上传漏洞,恶意攻击者可以上传恶意软件,例如后门、木马或勒索软件,以获取对服务器的远程访问权限或者破坏系统,对服务器造成极大的安全隐患。
浅谈“授权访问漏洞
热门推荐
→_→
07-26 1万+
一:漏洞名称: 授权访问漏洞 描述: 授权访问漏洞,是在攻击者没有获取到登录权限或授权的情况下,或者不需要输入密码,即可通过直接输入网站控制台主页面地址,或者不允许查看的链接便可进行访问,同时进行操作。 检测条件: 已知Web网站具有登录页面。或者具有不允许访问的目录或功能。 不用登录,可通过链接直接访问用户页面功能。 检测方法: 通过对登录后的页面进行抓包,将抓取到的功能链接,在其他浏览器进行打开, 也可以通过web扫描工具进行扫描,爬虫得到相关地址链接,进.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

gaynell

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值