首頁安全服務安全公告
正文

体彩排列五走势图综合版带连线:海峽信息-緊急通告2015年第5號

發布時間:2015-05-21 17:05   瀏覽次數:1948

360彩票排列五走势图 www.zusxop.com.cn 福建省海峽信息技術有限公司
安全服務中心
安全通告
[2015年第05號]
尊敬的海峽用戶:
我司安全研究實驗室于2015年5月7日,發現在使用TRS平臺的網站群系統中,其部署的個性化門戶系統(//XXXXX/portal/)存在高危漏洞,利用該漏洞惡意攻擊者可直接向站點目錄中寫入任意文件,進而造成更為嚴重的不良后果。經過海峽信息對貴單位網站的深入測試后,發現貴單位站點存在此高危漏洞。
為避免該高危漏洞對貴單位網站帶來的嚴重影響,建議貴單位盡快協調開發廠商,對該漏洞進行修復工作,確保貴單位站點的安全運行。
考慮該漏洞的威脅程度,建議貴單位能于2015年5月8日上午完成該漏洞的修復工作,對于該漏洞的修復工作如需幫助,歡迎來電,海峽信息將協助您完成對于該漏洞的修復工作。
【漏洞危害】
向站點目錄中任意寫入文件,如網頁木馬、敏感內容頁面。利用寫入的惡意腳本,可獲取系統的管理權限,實現對網站頁面的任意篡改操作。
【漏洞描述】
該漏洞的產生源于個性化門戶(//XXXXX/portal/)所使用的Web Services接口的驗證缺失問題,互聯網用戶無需身份驗證即可調用個性門戶所使用的Web Services中的writeFile、WriteSecFile等操作,根據站點的絕對路徑,寫入到站點目錄中。漏洞利用過程,如下圖:

圖 1 無需驗證即可訪問服務接口

圖 2通過提交符合規則的數據包,實現文件上傳

圖 3 上傳成功并訪問
 
福建省海峽信息技術有限公司
2015年5月7日

福建省海峽信息技術有限公司 版權所有  聯系: [email protected] 閩ICP備06011901號 ? 1999-2019 Fujian Strait Information Corporation. All Rights Reserved.

返回頂部