0x00 团队声明
0x01 漏洞概述
漏洞编号:
4A统一安全管控平台(以下简称4A企业版),实现IT资源(包括系统资源和业务资源)集中管理,为企业提供集中的账号(Account) 、认证(Authentication)、授权(Authorization) 、审计(Audit)管理技术支撑及配套流程,提升系统安全性和可管理能力。
4A统一安全管控平台实现对自然人、资源、资源账号的集中管理,建立“自然人账号——资源——资源账号”对应关系,实现自然人对资源的统一授权,同时,对授权人员的运维操作进行记录、分析、展现,做到作事前规划预防、事中实时监控、违规行为响应、事后合规报告、事故追踪回放,加强内部业务操作行为监管,实现日常运维和业务使用可视、可控、可信,完善安全管理体系。
功能特点
- 金库管理: 对重要的账号、重要操作实现“二次授权”管理。加强核心数据的保护,提升数据安全防护能力和管理能力。
- 审计管理:
全面记录用户的登录行为和操作行为。基于场景的异常行为分析,实现对大量日志的有效审计。
- 授权管理: 集中管理系统资源和应用资源权限,自动采集系统资源和应用资源相关权限信息,实现权限的统一展现、统一收集、统一变更、统一回收。
- 单点登录: 提供统一的单点登录门户,实现“一次登录到处通行”,避免记录和输入多个系统密码题,提升用户登录效率和使用感知。
- 认证管理: 全网系统统一集中认证,针对不同类型不同级别的用户采用不同的认证模式,保障用户的登录的安全性和合法性。
- 账号管理: 集中管理全网账号信息,对账号进行全生命周期,建立全网账号的可视、可控、可管运维体系。
0x02 影响版本
0x03 漏洞复现
验证POC
/accountApi/getMaster.do
这里返回内容中系统管理员,密码等信息泄露。
0x04 整改意见
原文始发于微信公众号(小白嘿课):2023 HW 启明星辰 4A统一安全管控平台信息泄漏漏洞
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论