安恒 明御WEB应用防火墙 report.php 任意用户登录漏洞

  • 一、漏洞描述
  • 二、漏洞影响
  • 三、网络测绘
  • 四、漏洞复现
  • 总结:
  • 五、修复建议

一、漏洞描述

安恒 明御WEB应用防火墙 report.php文件存在硬编码设置的Console用户登录,攻击者可以通过漏洞直接登录后台

二、漏洞影响

安恒 明御WEB应用防火墙

三、网络测绘

app=“安恒信息-明御WAF”

四、漏洞复现

登录页面


验证POC

/report.m?a=rpc-timed


再访问主页面跳转配置页面


发送请求包配置系统SSH等

总结:

漏洞太傻,本人检测工具懒得写

五、修复建议

辞退研发就可以

安恒 明御WEB应用防火墙 report.php 任意用户登录漏洞相关推荐

  1. [等保测评]Web应用防火墙WAF产品汇总

    WAF是Web应用防火墙(Web Application Firewall)的简称,WAF是当前对Web业务进行防护的一种比较常用且有效的手段之一,目前市场上的WAF产品也相对比较成熟,为了提高Web ...

  2. WAF——web安全及web应用防火墙

    WEB应用安全 风险分析 ■网站代码程序设计存在隐患 ■0day漏洞频发 ■网站运维和管理人员安全意识淡薄 ■黑客进入门槛越来越低 法律法规 网络安全法:对应用安全和数据安全提出明确要求 等报2.0: ...

  3. 安全狗技术分享|Web应用防火墙之攻击防护

    一旦我们正式把web应用上线后,web应用就暴露在公网的环境中,随之则会产生访问和流量,我们最常开放的80端口和443端口就有可能被探测到随之就有可能被自动化工具扫描甚至被监控和攻击,那么怎么防护这些 ...

  4. 华为云Web应用防火墙 ——为应用上一道安全锁

    华为云Web应用防火墙是华为云的一大力作.在应用安全服务领域,华为云凭借着多年在数字技术领域的深耕,打造了Web应用安全支持平台,为各大网站提供最为安全的坚实后盾. 华为云Web应用防火墙致力于为网站 ...

  5. goahead内嵌web——用户登录

    goahead设备内嵌web--环境搭建 基于前一章节环境搭建的基础上,goahead用户登录操作流程. 在web资源目录下创建一个用户登录的HTML文件,login.html文件代码内容如下 < ...

  6. 企业怎么选择国产Web应用防火墙?

    企业怎么选择国产Web应用防火墙? 2005年前后,Web应用防火墙(WAF)进入了IT安全领域,最早提供这类产品的供应商是几家新兴公司,如Perfecto.KaVaDo和NetContinuum.工 ...

  7. 网络防御系统之WEB应用防火墙-WAF概念和功能介绍

    一.WAF产生的背景 随着B/S架构的广泛应用,WEB应用的功能越来越丰富,也就意味着蕴含着越来越有价值的信息.于是WEB应用成为了黑客主要的攻击目标(第五层应用层).传统防火墙无法解析HTTP应用层 ...

  8. 如何更有效WEB应用防火墙确保信息安全

    如何更有效WEB应用防火墙确保信息安全 对于现代企业而言,信息资产就和企业其它电脑知识重要的资产一样都是非常具有价值的,应该被妥善加以保护并可被审核.但是信息系统面临着许多安全的威胁,因此只有对信息系 ...

  9. 轻松了解“Web应用防火墙”

    导语: 传统网站的安全问题总是面临各种问题,例如,.×××***造成数据泄露. 资金损失.业务中断 :网页被篡改. 挂链,机器灌水,恶意推广等. 如今,互联通推出"Web应用防火墙" ...

最新文章

  1. 从互联网跳到国企半年了,说说我的感受!
  2. 从全球最大光伏展看中国光伏行业:火爆的背后是什么?
  3. 京东到家基于netty与websocket的实践
  4. stringreader_Java StringReader skip()方法与示例
  5. Linux系统编程26:进程间通信之进程间通信的基本概念
  6. 在SpringBoot项目中,自定义注解+拦截器优雅的实现敏感数据的加解密!
  7. sublime配置go环境_sublime Text3配置go编译环境
  8. 1)Linux学习笔记:crontab命令
  9. tomcat 报错:Error occurred during initialization of VM
  10. 数据结构(王道计算机考研笔记)
  11. 信息安全应急预案整理
  12. 读书笔记(十五)--将才
  13. 物联卡无信号无服务器,物联卡没信号无服务怎么办
  14. IDEA - 如何安装Statistic代码统计插件?
  15. 如何通过iPhone或Android手机制作自己的QR码
  16. 为什么智能手机中被撕的永远是华为!
  17. 微服务实施笔记(五)——生产环境部署
  18. java nio 框架_几种Java NIO框架的比较(zz)
  19. 证明求最短路径问题具有最优子结构(动态规划)
  20. 转行做程序员,你后悔了吗

热门文章

  1. 第130篇 在 OpenSea 上创建自己的 NFT 商店(2)
  2. Windows自动登录、开机启动项设置
  3. 如何把文字转换成语音,文字转语音转换器能帮你
  4. 前端-原生一键复制功能
  5. 英韧科技出席“中国芯”颁奖仪式,聚焦基于RISC-V的高性能存储控制器
  6. 按键精灵手机助手插件 命令库同步
  7. 更换手机设备时如何同步迁移便签内容?
  8. python的mkl库_[转]Numpy使用MKL库提升计算性能
  9. OSI七层模型和TCP/IP四层模型详解
  10. springMVC后端接入支付宝,微信