启明星辰 4A统一安全管控平台信息泄漏漏洞PoC

漏洞编号：

4A统一安全管控平台（以下简称4A企业版），实现IT资源（包括系统资源和业务资源）集中管理，为企业提供集中的账号（Account） 、认证（Authentication）、授权(Authorization) 、审计(Audit)管理技术支撑及配套流程，提升系统安全性和可管理能力。

4A统一安全管控平台实现对自然人、资源、资源账号的集中管理，建立“自然人账号——资源——资源账号”对应关系，实现自然人对资源的统一授权，同时，对授权人员的运维操作进行记录、分析、展现，做到作事前规划预防、事中实时监控、违规行为响应、事后合规报告、事故追踪回放，加强内部业务操作行为监管，实现日常运维和业务使用可视、可控、可信，完善安全管理体系。

功能特点

• 金库管理： 对重要的账号、重要操作实现“二次授权”管理。加强核心数据的保护，提升数据安全防护能力和管理能力。
• 审计管理：

  全面记录用户的登录行为和操作行为。基于场景的异常行为分析，实现对大量日志的有效审计。

   

• 授权管理： 集中管理系统资源和应用资源权限，自动采集系统资源和应用资源相关权限信息，实现权限的统一展现、统一收集、统一变更、统一回收。
• 单点登录： 提供统一的单点登录门户，实现“一次登录到处通行”，避免记录和输入多个系统密码题，提升用户登录效率和使用感知。
• 认证管理： 全网系统统一集中认证，针对不同类型不同级别的用户采用不同的认证模式，保障用户的登录的安全性和合法性。
• 账号管理： 集中管理全网账号信息，对账号进行全生命周期，建立全网账号的可视、可控、可管运维体系。

验证POC

/accountApi/getMaster.do

这里返回内容中系统管理员，密码等信息泄露。