漏洞描述
360新天擎终端安全系统是面向行政单位的一系列产品安全处理方案,该终端安全系统存在未授权访问漏洞,导致一定敏感信息泄露。
漏洞原理
需要安全配置或权限认证的地址、授权页面存在缺陷导致其他用户可以直接访问从而引发重要权限可被操作、数据库或网站目录等敏感信息泄露。未授权访问漏洞是常见的攻击入口点,某些严重的未授权访问会直接导致getshell。
漏洞复现
http://ip:port/runtime/admin_log_conf.cache
poc工具:GitHub - zljun5057/-poc-: 360新天擎终端安全系统信息泄露POC
git clone GitHub - zljun5057/-poc-: 360新天擎终端安全系统信息泄露POC
(原创作者,仅供学习。禁止商用,违法使用)
本文转载自: https://blog.csdn.net/weixin_43802646/article/details/132889165
版权归原作者 被常威殴打的来福 所有, 如有侵权,请联系我们删除。
版权归原作者 被常威殴打的来福 所有, 如有侵权,请联系我们删除。