網絡安全檢測與防護技術國家地方聯合工程研究中心
1、綠盟 UTS 綜合威脅探針概述
綠盟全流量威脅分析解決方案針對原始流量進行采集和監控,對流量資訊進行深度還原、存儲、查詢和分析,可以及時掌握重要資訊系統相關網絡安全威脅風險,及時檢測漏洞、病毒木馬、網絡攻擊情況,及時發現網絡安全事件線索,及時通報預警重大網絡安全威脅,調查、防範和打擊網絡攻擊等惡意行為,保障重要資訊系統的網絡安全
2、漏洞描述
(1) 修改登入資料包 {“status”:false,“mag”:""} -> {“status”:true,“mag”:""}
(2) /webapi/v1/system/accountmanage/account接口邏輯錯誤洩漏了管理者的賬戶資訊包括密碼(md5)
(3) 再次登入,替換密碼上個資料包中md5密碼。
(4) 登入成功。
3、影響版本
綠盟綜合威脅探針裝置版本V2.0R00F02SP02及之前存在此漏洞。
4、修複建議
建議盡快更新更新檔至最新: http://update.nsfocus.com/update/listBsaUtsDetail/v/F02
如果你對網絡安全感興趣但又無從下手,歡迎到東塔安全學院學習哦,我們緻力于網絡安全、應用安全、通信安全等相關領域的精尖專人才培養,讓你快速上手,前程無憂!
确定不了解一下?
免責申明: 本項目僅進行資訊搜集,漏洞探測工作,無漏洞利用、攻擊性行為,發文初衷為僅為友善安全人員對授權項目完成測試工作和學習交流使用。
請使用者遵守當地相關法律,勿用于非授權測試,勿用于非授權測試,勿用于非授權測試~~(重要的事情說三遍)~~,如作他用所承受的法律責任一概與東塔安全學院無關!!!
轉載是一種動力 分享是一種美德