IT评测·应用市场-qidao123.com

标题: 某联达OA恣意用户登录漏洞复现 [打印本页]

作者: 何小豆儿在此 时间: 2024-10-25 23:31
标题: 某联达OA恣意用户登录漏洞复现
一、漏洞描述

由于/WebService/Lk6SyncService/DirectToOthers/GetSSOStamp.asmj接口未作限制，导致可以通过该接口调用admin的cookie值，通过对LoginCredence和LoginTimestamp的参数修改，进而实现恣意登录进去系统.
二、漏洞查询

fofa：fid=”/yV4r5PdARKT4jaqLjJYqw==”
body=”/Services/Identification/Server”
hunter：web.body=”/Services/Identification/Server/“

复制代码

三、漏洞复现

第一步访问页面

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。

欢迎光临 IT评测·应用市场-qidao123.com (https://dis.qidao123.com/)