最新系统漏洞--D-Link DAP-2020路径遍历漏洞

最新推荐文章于 2024-03-13 18:07:11 发布
最新推荐文章于 2024-03-13 18:07:11 发布
阅读量299 收藏
点赞数
文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_48555088/article/details/123590605
版权

最新系统漏洞2022年3月15日
受影响系统:
D-Link DAP-2020 1.01rc001
描述:

D-Link DAP-2020是中国台湾友讯(D-Link)公司的一款WiFi范围扩展器。
D-Link DAP-2020 1.01rc001版本在处理getpage参数时存在路径遍历漏洞。该漏洞源于程序在文件操作中使用用户提供的路径之前未对其进行正确验证。攻击者可利用该漏洞在root上下文中泄露信息。

<*来源:chung96vn ft phieulang ft ChiTran
*>

建议:

厂商补丁:

D-Link

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

https://supportannouncement.us.dlink.com/announcement/publication.aspx?name=SAP10201

Hacker-Li
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
基于GD32F103CBT6制作的DAP-Link
11-27
使用GD32F103CBT6做为控制芯片,移植并修改成DAP-Link,能够使用SW接口烧录程序,烧录后可直接软件重启。带有USB-CDC功能。可用串口调试助手实时修改波特率等参数。
DAP-2310配置指南.zip
03-28
D-LINK的AP配置,包含多SSID,多VLAN的设置 这个是以前公司用到的AP,现在分享出来,看有没有需要的
最新系统漏洞--D-Link DAP-1330堆栈缓冲区溢出漏洞
weixin_48555088的博客
11-15 715
最新系统漏洞2021年11月14日 受影响系统: D-Link DAP-1330 1.13B01 BETA 描述: D-Link DAP-1330是中国台湾友讯(D-Link)公司的网络设备一个WIFI设备。 D-Link DAP-1330 1.13B01 BETA在处理SOAPAction HTTP标头时存在堆栈缓冲区溢出漏洞。该漏洞源于程序在将用户输入复制到基于堆栈的固定长度缓冲区之前未对其数据长度进行正确验证。攻击者可利用该漏洞在设备上下中执行代码。 建议: 厂商补丁: D-Link 目前厂商还没有提
CVE-2020-5752 Druva inSync 6.6.3 Relative path traversal | Windows客户端下未授权用户的相对路径遍历漏洞复现
Shadow_DAI_990101的博客
09-09 988
Druva inSync™ 是一个 SaaS 平台,通过跨端点和云应用程序以安全合规的方式为用户提供大规模的数据保护、管理和信息治理等服务。更多信息click here这是关于Windows提权中关于Abusing vulnerable software方面的简单案列。
目录穿越/遍历漏洞 -- 学习笔记
热门推荐
angry_program的博客
08-07 2万+
目录 什么是目录遍历漏洞原理 实验 0x00 基础目录遍历 0x01 绝对路径 0x02 双写../绕过 0x03 URL编码绕过 0x04 绝对路径配合../ 0x05 截断文件后缀 防御 什么是目录遍历? 目录遍历(目录穿越)是一个Web安全漏洞,攻击者可以利用该漏洞读取运行应用程序的服务器上的任意文件。 这可能包括应用程序代码和数据,后端系统的登录信息以及敏感的操作系统文件。 在某些情况下,攻击者可能能够在服务器上写入任意文件,(如,FFFTP是一款小型...
(七)目录遍历漏洞
weixin_43047908的博客
04-13 1692
什么是目录遍历? 目录遍历(也称为文件路径遍历)是一个Web安全漏洞,它使攻击者可以读取运行应用程序的服务器上的任意文件。这可能包括应用程序代码和数据,后端系统的凭据以及敏感的操作系统文件。在某些情况下,攻击者可能能够写入服务器上的任意文件,从而允许他们修改应用程序数据或行为,并最终完全控制服务器。 通过目录遍历读取任意文件 考虑一个显示要出售商品图像的购物应用程序。图像通过一些HTML加载,如下所示: <img src="/loadImage?filename=218.png"> 该load
常见漏洞所对应功能点记录
m0_46127592的博客
04-23 3659
常见漏洞对应的功能点 一、SQL注入 sql注入是由于数据库执行了人为插入的恶意sql语句,因此存在于和数据库交互的地方,在实际的业务中,和数据库交互的地方一般有一下几个: 1、登录框、注册框 2、搜索框 3、内容浏览 4、内容编辑 5、新增主题、添加用户 标题二、任意文件下载、读取 任意文件下载是由于下载的参数中存在路径,攻击者通过修改参数中的路径达到任意文件下载的目的,一般存在与以下几个地方: 1、下载文件 2、导出excle 三、任意文件上传 任意文件上传是由于在文件上传时对文件类型没有进行一定的限制
STM32-daplink.rar_DAPLink 制作_daplink编译_hc-linkdap-link_stm32 d
07-13
最新DAPLINK工程文件,支持拖拽下载
DAPLINK和STM32最小系统组合-电路方案
04-19
DAPLINK和STM32最小系统组合,一根数据线可以完成程序的下载和调试 DAPLINK支持SWD和虚拟串行端口。使用SWD功能 您可以只用一根数据线就可以为板上最小的系统下载和调试程序, 它包括一个指示灯,以显示下载状态。在...
DAPLINK-Main-keil工具包已生成对应的keil工程
10-27
里面包含了对应的python工具和Git工具,还有在git上同步下来的工程以及DapLink.bat和Git_Daplink.bat脚本,运行DapLink.bat会自动同步GIT的原生工程代码并生成对应的keil工程
【burpsuite安全练兵场-服务端3】目录遍历漏洞-6个实验(全)
12-30 4168
【BP靶场portswigger-服务端3-目录遍历】6个实验-千文详解步骤
网站【漏洞】挖掘思路
分享Python知识
04-10 503
网站漏洞挖掘思路
网站漏洞挖掘思路
dzqxwzoe的博客
03-11 915
我们在用户名中输入 ‘or 1=1#,密码随意。就变成了select name.passwd from users where username= ‘’ or 1=1#’ and password=???。在SQL语法中 # 是注释符,所以后面的语句都会杯注释掉,那么上面的语句就等价于select name.passwd from users where username=’’ or 1=1。在or 连接中, username=’’ 和 1=1 中有一个为真就为真。所以1=1肯定为真。
目录遍历漏洞原理及其防御方法
Andrew的博客
03-19 1万+
一.目录遍历漏洞原理 目录遍历(路径遍历)是由于Web服务器或者Web应用程序对用户输入的文件名称的安全性验证不足而导致的一种安全漏洞,使得攻击者通过利用一些特殊字符就可以绕过服务器的安全限制,访问任意的文件(可以是Web根目录以外的文件),甚至执行系统命令。该漏洞常常出现在文件读取或者展示图片等对文件读取交互的功能块。 二.目录遍历漏洞防御方法 1.对用户的输入进行验证,特别是路径替...
目录遍历漏洞原理、解决方案
qq_37432174的博客
11-22 8893
目录遍历路径遍历)是由于web服务器或者web应用程序对用户输入的文件名称的安全性验证不足而导致的一种安全漏洞,使得攻击者通过利用一些特殊字符就可以绕过服务器的安全限制,访问任意的文件(可以使web根目录以外的文件),甚至执行系统命令。/之类的目录跳转符,导致恶意用户可以通过提交目录跳转来遍历服务器上的任意文件。对用户传过来的文件名参数进行统一编码,对包含恶意字符或者空字符的参数进行拒绝。对用户的输入进行验证,特别是路径替代字符如“…尽可能采用白名单的形式,验证所有的输入。
CSRF SSRF
qq_49310461的博客
10-19 366
CSRF SSRF 1.CSRF的基本概念、缩写、全称 CSRF(Cross-site request forgery):跨站请求伪造。 PS:中文名一定要记住。英文全称,如果记不住也拉倒。 2.CSRF的攻击原理 用户是网站A的注册用户,且登录进去,于是网站A就给用户下发cookie。 从上图可以看出,要完成一次CSRF攻击,受害者必须满足两个必要的条件: (1)登录受信任网站A,服务器并在本地生成Cookie。(如果用户没有登录网站A,那么网站B在诱导的时候,请求网站A的api接口时,会提示你登录
业务逻辑漏洞
最新发布
2301_80661529的博客
03-13 687
短信和邮件轰炸漏洞是逻辑层面的安全问题,指的是在Web应用或服务中,由于开发者在设计和实现过程中未能对短信验证码发送、邮件发送等功能进行有效的速率限制和身份验证,攻击者可以利用这些漏洞,通过编程或者其他方式,连续不断地向某个手机号或电子邮箱地址发送大量短信或邮件,造成骚扰甚至严重影响目标用户的正常使用。重定向漏洞是Web应用安全领域中的一种常见漏洞,它通常出现在Web服务器或应用在处理用户提供的URL时,没有正确验证或过滤输入,导致攻击者可以操控重定向的目标地址,使用户被引导至恶意网站或进行非预期的跳转。
DAP_LINK下载器固件编译下载过程
weixin_45829708的博客
04-23 1万+
DAP_LINK下载器固件编译下载过程 目录DAP_LINK下载器固件编译下载过程1、daplink的介绍2、程序编译-环境配置2-1 stm32f103xb_bl工程2-2 stm32f103xb_stm32f103rb_if工程3、固件下载3-1 脱机下载stm32f103xb_bl.hex3-2 rst重启得到U盘3-3 拖动下载固件4、keil 实践5、总结 1、daplink的介绍 可以参考下面这篇博文 链接: 打造属于你自己的STM32下载器调试器-DAPLink 官方源码可以从 githu
常见开发安全规避和敏感信息处理
|] 大世界,小人物
09-12 8798
本文转自:https://docs.open.alipay.com/common/105912 1. 常见开发场景安全开发指南 1.1. 敏感信息使用场景 敏感信息指用户的 身份证号、银行卡号、手机号 等身份信息。重要敏感信息的脱敏规范如下。 敏感信息类型 展示规范 身份证 显示前 1 位 + *(实际位数) + 后 1 位
cmsis-dap和j-link、st-link
06-28
### 回答1: CMSIS-DAP、J-Link和ST-Link都是用于嵌入式系统开发的调试工具。 CMSIS-DAP是一种开源的调试和编程接口,它可以通过USB连接到目标设备,支持多种开发环境和操作系统。它可以用于调试和编程ARM Cortex-M微控制器。 J-Link是一种商业化的调试工具,由SEGGER公司开发。它支持多种微控制器架构,包括ARM、MIPS、RX等。它可以通过USB或以太网连接到目标设备,支持多种开发环境和操作系统。 ST-Link是STMicroelectronics公司开发的一种调试工具,它可以通过USB连接到目标设备,支持多种开发环境和操作系统。它可以用于调试和编程STMicroelectronics的微控制器。 ### 回答2: CMSIS-DAP、J-Link和ST-Link均是嵌入式处理器的开发调试工具。 CMSIS-DAP是一种轻量级调试接口,旨在实现开源的开发调试。它支持多种协议,如DAPLink、CMSIS-DAPv1/v2和CMSIS-DAP Classic等。它的优点是使用方便、通用性好、成本低,还支持固件的在线升级。然而,CMSIS-DAP的缺点是其生成的SWD时序可能比较复杂,不能像高端调试工具那样支持每个调试器特定的调试功能,同时可用于调试的软件平台也相对少。 J-Link是一款由德国公司SEGGER Microcontroller开发的高性能调试工具,用于多种开发平台。它支持各种各样的微控制器,如ARM、AVR、RX等等。其访问速度在市场上排名为前列。J-Link还提供SDK,使其能够集成到IDE等各种开发环境中。除此之外,使用J-Link的用户还可以享受到多种特殊功能,例如实时跟踪和性能分析等。但是,J-Link也存在着一些缺点,如价格较高、支持平台有限等问题。 ST-Link是由意法半导体公司开发的专为ST微控制器设计的工具。它提供了直观的图形用户界面,与标准的Windows IDE和IDE工具集集成。ST-Link具有各种各样的调试功能,例如单步执行、断点调试、回放/向前跟踪等等。此外,ST-Link使用简便,价格也比较亲民,是做ST微控制器开发的开发者应该优先考虑的调试产品之一。但是,ST-Link并不适合其他品牌的微控制器开发,因此可用性较低。 三种开发调试工具各有优劣,具体使用需要根据实际情况来选择合适的调试器。 ### 回答3: CMSIS-DAP、J-Link和ST-Link都是常用的调试器,用于将您的程序下载到微处理器上或使用调试接口进行调试。它们都支持大多数主流的ARM Cortex内核,并可以与各种工具链匹配使用。 CMSIS-DAP是一种针对嵌入式系统设计的通用调试接口,它使用USB接口连接电脑和开发板。由于CMSIS-DAP采用了ARM的标准化设计,因此可以与许多ARM处理器进行通信。此外,CMSIS-DAP还包括一个串行接口,并可以通过USB与开发板进行通信。与其他调试器相比,CMSIS-DAP可以免费使用,因此具有一定的价格优势。虽然它的性能比J-Link和ST-Link稍慢,但是对于大多数小型项目的需求来说已经足够。 J-Link是瑞萨公司出品的一款高性能调试器,支持大多数ARM微控制器。它是由一块J-Link板和PC连接而成,并使用JTAG接口进行通信。它具有高速下载程序的能力,且很容易被集成到您的开发环境中,因此它广泛应用于商业和工业项目中。 ST-Link是STMicroelectronics公司的产品,它是一种基于USB接口的调试器,能够支持STM8和STM32系列微控制器。它还具有独特的自动降频功能,可以自动调节速度以适应不同的目标芯片。由于ST-Link是由STM公司制造的,因此在与STM芯片和STM的开发环境集成方面有着很高的便利性和兼容性。 总之,CMSIS-DAP、J-Link和ST-Link都是好的调试器,性能和价格也各有长短。在选择调试器时,需要根据您的具体业务需求和项目的规模来选择最适合的调试器。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值