綠盟uts綜合威脅探針管理員任意登入
漏洞詳情:
綠盟全流量威脅分析解決方案針對原始流量進行採集和監控,對流量資訊進行深度還原、儲存、查詢和分析,可以及時掌握重要資訊系統相關網路安全威脅風險,及時檢測漏洞、病毒木馬、網路攻擊情況,及時發現網路安全事件線索,及時通報預警重大網路安全威脅,調查、防範和打擊網路攻擊等惡意行為,保障重要資訊系統的網路安全。
綠盟綜合威脅探針裝置版本v2.0r00f02sp02及之前存在此漏洞。
處置意見:
建議盡快更新補丁至最新:
漏洞利用過程:
對響應包進行修改,將false更改為true的時候可以洩露管理使用者的md5值密碼
利用渠道的md5值去登入頁面
成功登入,登入後通過管理員許可權對裝置進行管控,並且可以看到大量的攻擊資訊,洩露內部網路位址包括資產管理。
綠盟面試經歷
本人普通高校小碩一名,從2018年9月開始找工作,第一家面試的公司就是成都綠盟科技,總共3輪面試,第一輪 第二輪都是技術面,第三輪是北京綠盟的boss面。因為是投的是提前批,正式校招還沒開始,三輪面試都是 面,所以還是有操作的機會。最後由於薪資沒談好,沒收到offer,感覺綠盟科技 成都 最多能開到...
綠盟前端筆試題
1.set cookie屬於響應頭欄位,cookie屬於請求頭欄位 2.為什麼使用網頁驗證碼,說明其原理 3.var mypromise1 new promise function resolve,reject var mypromise2 new promise function resolve,...
綠盟漏洞公升級nginx
nginx 11月6日的安全更新中,修補了三個可導致拒絕服務的漏洞 cve 2018 16843,cve 2018 16844和cve 2018 16845。位於nginx http 2 模組和流 mp4模組。cve 2018 16843,cve 2018 16844漏洞存在於ngx http v2...