亚洲乱码中文字幕综合,中国熟女仑乱hd,亚洲精品乱拍国产一区二区三区,一本大道卡一卡二卡三乱码全集资源,又粗又黄又硬又爽的免费视频

中國(guó)移動(dòng)mas2.0平臺(tái)系統(tǒng)漏洞暴光 附修復(fù)方法

  發(fā)布時(shí)間:2012-05-11 10:55:56   作者:佚名   我要評(píng)論
MAS是中國(guó)移動(dòng)的短信代理網(wǎng)關(guān)(平臺(tái))。MAS是Mobile Agent Server的簡(jiǎn)稱。目前多個(gè)政府部門(mén)、國(guó)有大型企業(yè)部門(mén)、運(yùn)營(yíng)商、金融部門(mén)都采用該平臺(tái)。MAS2.0是中國(guó)新一代的代理網(wǎng)關(guān)系統(tǒng)。漏洞有可能會(huì)泄露使用該平臺(tái)的單位手機(jī)通信錄,利用mas發(fā)送欺騙短信。
MAS是中國(guó)移動(dòng)的短信代理網(wǎng)關(guān)(平臺(tái))。MAS是Mobile Agent Server的簡(jiǎn)稱。目前多個(gè)政府部門(mén)、國(guó)有大型企業(yè)部門(mén)、運(yùn)營(yíng)商、金融部門(mén)都采用該平臺(tái)。MAS2.0是中國(guó)新一代的代理網(wǎng)關(guān)系統(tǒng)。漏洞有可能會(huì)泄露使用該平臺(tái)的單位手機(jī)通信錄,利用mas發(fā)送欺騙短信。詳細(xì)說(shuō)明:一、產(chǎn)品說(shuō)明MAS是中國(guó)移動(dòng)的短信代理網(wǎng)關(guān)(平臺(tái))。MAS是Mobile Agent Server的簡(jiǎn)稱。目前多個(gè)政府部門(mén)、國(guó)有大型企業(yè)部門(mén)、運(yùn)營(yíng)商、金融部門(mén)都采用該平臺(tái)。MAS2.0是中國(guó)新一代的代理網(wǎng)關(guān)系統(tǒng)。二、漏洞細(xì)節(jié)1、后臺(tái)驗(yàn)證繞過(guò)漏洞后臺(tái)管理頁(yè)面對(duì)session賦值存在邏輯錯(cuò)誤,使得攻擊者在登陸頁(yè)面輸入錯(cuò)誤賬戶后可以得到一個(gè)返回true的session值,此時(shí)可以直接訪問(wèn)后臺(tái)頁(yè)面,可以獲取敏感資料和發(fā)送短信(廳級(jí)領(lǐng)導(dǎo)個(gè)人電話,或者發(fā)送欺騙短信)。測(cè)試步驟:a、訪問(wèn)登陸頁(yè)面http://x.x.x.x/logon.jsp輸入任意賬戶,登陸。b、直接訪問(wèn)http://x.x.x.x/left.jsp2、文件上傳部門(mén)mas平臺(tái)存在通信錄和彩信圖片上傳界面,可以通過(guò)截?cái)嗪捅镜靥峤环绞缴蟼鱦sp文件。(不通用,僅測(cè)試了一個(gè),部分mas2.0不存在上傳頁(yè)面)。三、修復(fù)建議1、對(duì)后臺(tái)文件進(jìn)行權(quán)限驗(yàn)證;2、過(guò)濾上傳文件后綴;漏洞證明:         修復(fù)方案:1、對(duì)后臺(tái)文件進(jìn)行權(quán)限驗(yàn)證;2、過(guò)濾上傳文件后綴;作者 Lee

相關(guān)文章

  • 常用的網(wǎng)站漏洞掃描工具小結(jié)

    偶爾在網(wǎng)上看到這些,拿來(lái)和大家一塊看看,也好讓各個(gè)站長(zhǎng)懂得保護(hù)自己的網(wǎng)站
    2012-10-16

  • 教你如何繞過(guò)安全狗(safedog)

    安全狗是一款大家熟悉的服務(wù)器安全加固產(chǎn)品,據(jù)稱已經(jīng)擁有50W的用戶量。最近經(jīng)過(guò)一些研究,發(fā)現(xiàn)安全狗的一些防護(hù)功能,例如SQL注入、文件上傳、防webshell等都可以被繞過(guò)
    2014-07-17

  • 查找Centos Linux服務(wù)器上入侵者的WebShell后門(mén)

    服務(wù)器被掛馬或被黑的朋友應(yīng)該知道,黑客入侵web服務(wù)器的第一目標(biāo)是往服務(wù)器上上傳一個(gè)webshell,有了webshell黑客就可以干更多的事 情
    2012-07-10

  • PHP漏洞全解

    PHP網(wǎng)頁(yè)的安全性問(wèn)題,針對(duì)PHP的網(wǎng)站主要存在下面幾種攻擊方式
    2011-03-11

  • 惡意js腳本注入訪問(wèn)偽隨機(jī)域名的實(shí)例解析

    我們的服務(wù)器又出入侵事故了。有客戶的html 網(wǎng)頁(yè)底部被插入了一段js 腳本, 導(dǎo)致訪客打開(kāi)網(wǎng)頁(yè)時(shí)被殺毒軟件警告網(wǎng)站上有惡意代碼
    2012-07-10

  • phpinfo跨站腳本漏洞

    漏洞說(shuō)明: php是一款被廣泛使用的編程語(yǔ)言,可以被嵌套在html里用做web程序開(kāi)發(fā)。phpinfo()是用來(lái)顯示當(dāng)前php環(huán)境的一個(gè)函數(shù),許多站點(diǎn)和程序都會(huì)將phpinfo放在自己
    2008-10-08

  • 最新win2003 II6解析漏洞實(shí)戰(zhàn)及應(yīng)用

    新 win2003 IIS6 解析漏洞,大家可以參考下,注意防范。
    2009-11-23

  • 服務(wù)器上網(wǎng)站被掛Iframe木馬的解決方法

    今天訪問(wèn)公司的一個(gè)網(wǎng)站,突然發(fā)現(xiàn)網(wǎng)頁(yè)顯示不對(duì),右鍵查看HTML代碼,發(fā)現(xiàn)iframe了一個(gè)網(wǎng)站的js文件,不用說(shuō),肯定被掛馬了
    2014-07-31

  • 使用CSRF漏洞攻擊D-link路由器全過(guò)程

    本文介紹了使用CSRF漏洞攻擊D-link路由器全過(guò)程,主要目的是如何通過(guò)CSRF漏洞實(shí)現(xiàn)遠(yuǎn)程管理訪問(wèn)D-link路由器,需要的朋友可以參考下
    2014-04-25

  • 解析文件上傳漏洞 從FCKEditor文件上傳漏洞談起

    大部分的用戶可能不要了解文件上傳漏洞,下面小編就為大家具體的講解什么事文件上傳漏洞以及文件上傳漏洞的幾種方式
    2016-11-02

最新評(píng)論