*赛通 DecryptApplication 任意文件读取

admin 2024年3月11日14:24:36评论48 views字数 366阅读1分13秒阅读模式

导读

 

  主要分享学习日常中的web渗透,内网渗透、漏洞复现、工具开发相关等。希望以技术共享、交流等不断赋能自己,为网络安全发展贡献自己的微薄之力!   

*赛通 DecryptApplication 任意文件读取
0x00免责声明
本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责!
*赛通 DecryptApplication 任意文件读取
0x01漏洞描

     *赛通DecryptApplication存在任意文件读取,攻击者可通过此漏洞获取敏感信息。

*赛通 DecryptApplication 任意文件读取
0x02漏洞复现

1、fofa

body="/CDGServer3/index.jsp"

*赛通 DecryptApplication 任意文件读取

2、利用方式请加入帮会获取

*赛通 DecryptApplication 任意文件读取

*赛通 DecryptApplication 任意文件读取

*赛通 DecryptApplication 任意文件读取
0x03修复建议
对下载路径进行过滤,如下载前对传入的参数进行过滤,并且对下载文件类型进行检查,是否是允许下载的类型。通过防火墙等安全设备做访问控制策略或者白名单访问。

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年3月11日14:24:36
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   *赛通 DecryptApplication 任意文件读取https://cn-sec.com/archives/2566332.html

发表评论

匿名网友 填写信息