归档: 2022 | LuckySec

时间列表时间轴

2022年

由于应⽤在最初设计时由于未考虑全⾯，在登录模块中程序的判断逻辑及程序的处理流程上存在缺陷，导致攻击者可以绕过程序的处理流程，从⽽达到任意用户登录的⽬的，如服务器返回一个flag参数作为登录是否成功的标准，但是由于代码最后登录是否成功是通过获取这个flag参数来作为最终的验证，导致攻击者通过修改flag参数即可绕过登录的限制。任意账号登录的危害性是非常严重的，不仅会导致所有账号失陷，威胁客户利益，甚至直接威胁到管理员账号。在管理员账号泄露的情况下，很可能导致进一步损失。

2022-10-17 漏洞篇

逻辑漏洞任意用户登录

任意用户注册漏洞（身份认证缺失）

由于应⽤在最初设计时由于未考虑全⾯，在注册模块中程序的判断逻辑及程序的处理流程上存在缺陷，导致攻击者可以绕过程序的处理流程，从⽽达到任意⽤户注册的目的。任意账号注册会造成什么样的危害取决于其具体业务，薅羊毛、拒绝服务、垃圾注册等等，因此任意账号注册需要进行一定的控制。

2022-10-16 漏洞篇

逻辑漏洞任意用户注册

GoTTY 未授权远程命令执行漏洞

GoTTY 是一个简单的基于 Go 语言的命令行工具，它可以将终端（TTY）作为 Web 程序共享。GoTTY 的架构是基于 Hterm + Web Socket 的，它能在 Web 浏览器上运行一个基于 Java 的终端，并支持通过 HTTP 和 HTTPS 访问。当 GoTTY 未正确配置身份验证启动时，任意用户可通过 GoTTY 程序的 Web 页面未授权远程命令执行。

2022-10-15 漏洞篇

GoTTY 远程命令执行

不安全的 HTTP 方法

目标服务器启用了不安全的HTTP方法，例如PUT、DELETE、COPY、MOVE、SEARCH、PROPFIND、TRACE等。不合理的权限配置有可能允许未授权的用户对其进行利用，例如攻击者可以通过PUT方法直接上传WebShell文件到有写权限的目录，从而控制网站。

2022-10-14 漏洞篇

配置不当 HTTP

锐捷EWEB网管系统远程命令执行漏洞（CNVD-2021-09650）

锐捷网络股份有限公司NBR路由器EWEB网管系统存在命令执行漏洞，攻击者可利用该漏洞获取服务器控制权限。

2022-10-13 漏洞篇

远程命令执行锐捷

Arcgis REST 服务目录漏洞

ArcGIS REST 服务目录为系统中所有的 ArcGIS Server Web 服务以及可通过 REST 执行的操作提供了一种基于 HTML 的可浏览的表现方式。ArcGIS REST 服务目录会暴露系统发布的服务，通过点Web界面上的链接可以获取到系统服务敏感数据。当不希望用户浏览系统中的服务列表、在 Web 搜索中查找系统中的服务或通过 HTML 表单请求系统中的服务时，建议在生产系统中禁用服务目录功能。

2022-10-12 漏洞篇

Arcgis 配置不当

2022年

2022-10-17

任意用户登录漏洞（响应内容绕过）

2022-10-16

任意用户注册漏洞（身份认证缺失）

2022-10-15

GoTTY 未授权远程命令执行漏洞

2022-10-14

不安全的 HTTP 方法

2022-10-13

锐捷EWEB网管系统远程命令执行漏洞（CNVD-2021-09650）

2022-10-12

Arcgis REST 服务目录漏洞