某运行监管平台存在druid 未授权访问

2021年4月24日02:41:52评论104 views字数 436阅读1分27秒阅读模式

某运行监管平台存在druid 未授权访问

文章来源：EDI安全

01

漏洞标题

某运行监管平台存在druid 未授权访问

02

漏洞类型

权限绕过

03

漏洞等级

高危

04

漏洞地址

http://xxx.xxx.xx.xxx:8001/druid/index.html

http://xxx.xxx.xx.xxx:8001/druid/sql.html

05

漏洞详情

0x01

http://xxx.xxx.xx.xxx:8001/druid/index.html

存在druid 未授权访问，可直接访问监控的数据

某运行监管平台存在druid 未授权访问

某运行监管平台存在druid 未授权访问

某运行监管平台存在druid 未授权访问

06

漏洞危害

1、可以直接看到后台执行的SQL数据

2、可以直接重置平台，造成不能访问等严重问题

07

建议措施

做好权限的控制，不允许不登录的用户直接访问系统内部功能。

PS：本文仅用于技术讨论与分析，严禁用于任何非法用途，违者后果自负。

某运行监管平台存在druid 未授权访问

推荐文章++++

某运行监管平台存在druid 未授权访问

*某奖评审系统登录处存在URL跳转漏洞

*某公共服务平台密码找回处存在邮箱炸弹

*某公共平台个人信息查看处存在全局越权修改

某运行监管平台存在druid 未授权访问

某运行监管平台存在druid 未授权访问

本文始发于微信公众号（黑白之道）：某运行监管平台存在druid 未授权访问

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

左青龙
微信扫一扫

右白虎
微信扫一扫

PG_Vmdak

如何搭建符号执行环境并跑通第一个测试样例

渗透测试|柳暗花明(记一次有趣的高危漏洞以及思考修复方案)

从通过 .js 文件中找到的 URL 访问受限功能，到通过修改 API上HTTP响应中的accessLevel值进行权限提升

Web3 安全入门避坑指南｜剪贴板安全

利用n8n结合ollama-Deepseek大模型创建智能体

如何利用图像验证技术识别钓鱼攻击？

Webshell免杀思路-PHP篇-1：经典混淆的艺术

CimFS：内存崩溃，查找系统（内核版）

Astral-PE 是用于本机 Windows PE 文件（x32/x64）的低级变异器（Headers/EP 混淆器）

本文由 admin 发表于 2021年4月24日02:41:52
转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出)：
某运行监管平台存在druid 未授权访问https://cn-sec.com/archives/219493.html
免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉.

目录

在线咨询

13688888888

8888 QQ在线咨询

微信
本页二维码