最新系统漏洞--D-Link DAP-2020路径遍历漏洞

最新推荐文章于 2024-03-13 18:07:11 发布
最新推荐文章于 2024-03-13 18:07:11 发布
阅读量314 收藏
点赞数
文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_48555088/article/details/123590605
版权

最新系统漏洞2022年3月15日
受影响系统:
D-Link DAP-2020 1.01rc001
描述:

D-Link DAP-2020是中国台湾友讯(D-Link)公司的一款WiFi范围扩展器。
D-Link DAP-2020 1.01rc001版本在处理getpage参数时存在路径遍历漏洞。该漏洞源于程序在文件操作中使用用户提供的路径之前未对其进行正确验证。攻击者可利用该漏洞在root上下文中泄露信息。

<*来源:chung96vn ft phieulang ft ChiTran
*>

建议:

厂商补丁:

D-Link

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

https://supportannouncement.us.dlink.com/announcement/publication.aspx?name=SAP10201

Hacker-Li
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
数字通指尖云平台智慧政务平台存在SQL注入漏洞
weixin_43567873的博客
03-29 123
数字通指尖云平台智慧政务平台存在SQL注入漏洞
基于GD32F103CBT6制作的DAP-Link
11-27
【基于GD32F103CBT6制作的DAP-Link】是一个项目,它利用了GD32F103CBT6这款微控制器来实现DAP-Link的功能。GD32F103CBT6是Gigadevice公司的一款基于ARM Cortex-M3内核的微控制器,具有高性能、低功耗的特点,广泛...
最新系统漏洞--D-Link DAP-1330堆栈缓冲区溢出漏洞
weixin_48555088的博客
11-15 722
最新系统漏洞2021年11月14日 受影响系统: D-Link DAP-1330 1.13B01 BETA 描述: D-Link DAP-1330是中国台湾友讯(D-Link)公司的网络设备一个WIFI设备。 D-Link DAP-1330 1.13B01 BETA在处理SOAPAction HTTP标头时存在堆栈缓冲区溢出漏洞。该漏洞源于程序在将用户输入复制到基于堆栈的固定长度缓冲区之前未对其数据长度进行正确验证。攻击者可利用该漏洞在设备上下中执行代码。 建议: 厂商补丁: D-Link 目前厂商还没有提
CVE-2020-5752 Druva inSync 6.6.3 Relative path traversal | Windows客户端下未授权用户的相对路径遍历漏洞复现
Shadow_DAI_990101的博客
09-09 1150
Druva inSync™ 是一个 SaaS 平台,通过跨端点和云应用程序以安全合规的方式为用户提供大规模的数据保护、管理和信息治理等服务。更多信息click here这是关于Windows提权中关于Abusing vulnerable software方面的简单案列。
路径遍历漏洞】查找、利用、预防
08-20 5985
路径遍历漏洞】确定攻击目标、探查路径遍历漏洞、避开遍历攻击障碍、处理定制编码、利用遍历漏洞
目录穿越/遍历漏洞 -- 学习笔记
热门推荐
angry_program的博客
08-07 2万+
目录 什么是目录遍历漏洞原理 实验 0x00 基础目录遍历 0x01 绝对路径 0x02 双写../绕过 0x03 URL编码绕过 0x04 绝对路径配合../ 0x05 截断文件后缀 防御 什么是目录遍历? 目录遍历(目录穿越)是一个Web安全漏洞,攻击者可以利用该漏洞读取运行应用程序的服务器上的任意文件。 这可能包括应用程序代码和数据,后端系统的登录信息以及敏感的操作系统文件。 在某些情况下,攻击者可能能够在服务器上写入任意文件,(如,FFFTP是一款小型...
DAP-2310配置指南.zip
03-28
DAP-2310配置指南》是一个关于D-LINK DAP-2310无线接入点(Access Point)的详细配置文档集合,主要涵盖了如何进行多SSID(Service Set Identifier)配置以及与交换机VLAN(Virtual Local Area Network)的结合...
STM32-daplink.rar_DAPLink 制作_daplink编译_hc-linkdap-link_stm32 d
07-13
在本压缩包文件中,你将找到与DAPLink相关的所有资源,包括工程文件、编译脚本以及可能的修改指南,特别是针对HC-Link转为DAP-Link的改造过程。 1. **DAPLink简介**: DAPLink是ARM公司开发的一种开放源代码固件,...
DAPLINK和STM32最小系统组合-电路方案
04-19
DAPLINK和STM32最小系统组合,一根数据线可以完成程序的下载和调试 DAPLINK支持SWD和虚拟串行端口。使用SWD功能 您可以只用一根数据线就可以为板上最小的系统下载和调试程序, 它包括一个指示灯,以显示下载状态。在...
DAPLINK-Main-keil工具包已生成对应的keil工程
10-27
里面包含了对应的python工具和Git工具,还有在git上同步下来的工程以及DapLink.bat和Git_Daplink.bat脚本,运行DapLink.bat会自动同步GIT的原生工程代码并生成对应的keil工程
(七)目录遍历漏洞
weixin_43047908的博客
04-13 1728
什么是目录遍历? 目录遍历(也称为文件路径遍历)是一个Web安全漏洞,它使攻击者可以读取运行应用程序的服务器上的任意文件。这可能包括应用程序代码和数据,后端系统的凭据以及敏感的操作系统文件。在某些情况下,攻击者可能能够写入服务器上的任意文件,从而允许他们修改应用程序数据或行为,并最终完全控制服务器。 通过目录遍历读取任意文件 考虑一个显示要出售商品图像的购物应用程序。图像通过一些HTML加载,如下所示: <img src="/loadImage?filename=218.png"> 该load
常见漏洞所对应功能点记录
m0_46127592的博客
04-23 3739
常见漏洞对应的功能点 一、SQL注入 sql注入是由于数据库执行了人为插入的恶意sql语句,因此存在于和数据库交互的地方,在实际的业务中,和数据库交互的地方一般有一下几个: 1、登录框、注册框 2、搜索框 3、内容浏览 4、内容编辑 5、新增主题、添加用户 标题二、任意文件下载、读取 任意文件下载是由于下载的参数中存在路径,攻击者通过修改参数中的路径达到任意文件下载的目的,一般存在与以下几个地方: 1、下载文件 2、导出excle 三、任意文件上传 任意文件上传是由于在文件上传时对文件类型没有进行一定的限制
【burpsuite安全练兵场-服务端3】目录遍历漏洞-6个实验(全)
12-30 4260
【BP靶场portswigger-服务端3-目录遍历】6个实验-千文详解步骤
网站【漏洞】挖掘思路
分享Python知识
04-10 540
网站漏洞挖掘思路
网站漏洞挖掘思路
dzqxwzoe的博客
03-11 1003
我们在用户名中输入 ‘or 1=1#,密码随意。就变成了select name.passwd from users where username= ‘’ or 1=1#’ and password=???。在SQL语法中 # 是注释符,所以后面的语句都会杯注释掉,那么上面的语句就等价于select name.passwd from users where username=’’ or 1=1。在or 连接中, username=’’ 和 1=1 中有一个为真就为真。所以1=1肯定为真。
目录遍历漏洞原理及其防御方法
Andrew的博客
03-19 1万+
一.目录遍历漏洞原理 目录遍历(路径遍历)是由于Web服务器或者Web应用程序对用户输入的文件名称的安全性验证不足而导致的一种安全漏洞,使得攻击者通过利用一些特殊字符就可以绕过服务器的安全限制,访问任意的文件(可以是Web根目录以外的文件),甚至执行系统命令。该漏洞常常出现在文件读取或者展示图片等对文件读取交互的功能块。 二.目录遍历漏洞防御方法 1.对用户的输入进行验证,特别是路径替...
目录遍历漏洞原理、解决方案
qq_37432174的博客
11-22 9346
目录遍历路径遍历)是由于web服务器或者web应用程序对用户输入的文件名称的安全性验证不足而导致的一种安全漏洞,使得攻击者通过利用一些特殊字符就可以绕过服务器的安全限制,访问任意的文件(可以使web根目录以外的文件),甚至执行系统命令。/之类的目录跳转符,导致恶意用户可以通过提交目录跳转来遍历服务器上的任意文件。对用户传过来的文件名参数进行统一编码,对包含恶意字符或者空字符的参数进行拒绝。对用户的输入进行验证,特别是路径替代字符如“…尽可能采用白名单的形式,验证所有的输入。
业务逻辑漏洞
最新发布
2301_80661529的博客
03-13 827
短信和邮件轰炸漏洞是逻辑层面的安全问题,指的是在Web应用或服务中,由于开发者在设计和实现过程中未能对短信验证码发送、邮件发送等功能进行有效的速率限制和身份验证,攻击者可以利用这些漏洞,通过编程或者其他方式,连续不断地向某个手机号或电子邮箱地址发送大量短信或邮件,造成骚扰甚至严重影响目标用户的正常使用。重定向漏洞是Web应用安全领域中的一种常见漏洞,它通常出现在Web服务器或应用在处理用户提供的URL时,没有正确验证或过滤输入,导致攻击者可以操控重定向的目标地址,使用户被引导至恶意网站或进行非预期的跳转。
CSRF SSRF
qq_49310461的博客
10-19 391
CSRF SSRF 1.CSRF的基本概念、缩写、全称 CSRF(Cross-site request forgery):跨站请求伪造。 PS:中文名一定要记住。英文全称,如果记不住也拉倒。 2.CSRF的攻击原理 用户是网站A的注册用户,且登录进去,于是网站A就给用户下发cookie。 从上图可以看出,要完成一次CSRF攻击,受害者必须满足两个必要的条件: (1)登录受信任网站A,服务器并在本地生成Cookie。(如果用户没有登录网站A,那么网站B在诱导的时候,请求网站A的api接口时,会提示你登录
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值