中国移动mas2.0平台系统漏洞暴光 附修复方法
时间:2012-04-11 14:34:24 魔新豆网
MAS是中国移动的短信代理网关(平台)。MAS是Mobile Agent Server的简称。目前多个政府部门、国有大型企业部门、运营商、金融部门都采用该平台。MAS2.0是中国新一代的代理网关系统。漏洞有可能会泄露使用该平台的单位手机通信录,利用mas发送欺骗短信。详细说明:一、产品说明MAS是中国移动的短信代理网关(平台)。MAS是Mobile Agent Server的简称。目前多个政府部门、国有大型企业部门、运营商、金融部门都采用该平台。MAS2.0是中国新一代的代理网关系统。二、漏洞细节1、后台验证绕过漏洞后台管理页面对session赋值存在逻辑错误,使得攻击者在登陆页面输入错误账户后可以得到一个返回true的session值,此时可以直接访问后台页面,可以获取敏感资料和发送短信(厅级领导个人电话,或者发送欺骗短信)。测试步骤:a、访问登陆页面http://x.x.x.x/logon.jsp输入任意账户,登陆。b、直接访问http://x.x.x.x/left.jsp2、文件上传部门mas平台存在通信录和彩信图片上传界面,可以通过截断和本地提交方式上传jsp文件。(不通用,仅测试了一个,部分mas2.0不存在上传页面)。三、修复建议1、对后台文件进行权限验证;2、过滤上传文件后缀;漏洞证明: 修复方案:1、对后台文件进行权限验证;2、过滤上传文件后缀;作者 Lee
本文标签:
读过此篇文章的网友还读过:
- 小米笔记本Air 4G可以在哪里买到呢?中国移动营业厅和官网有售
- 笔记本新机型AMD平台USB3.0设备驱动程序安装教程
- 5200元i5-9400F搭GTX1660Ti六核独显配置推荐 2019新平台装机
- PC平台游戏的优化如何?年度最佳FPS《战地1》显卡测试
- 全球十大最惊险观景平台旅游景点排行 该天行桥有阿尔卑斯山的阳台
- 十大最靠谱网贷平台排行榜,陆金服第一,小赢网金第二
- AM4平台的存储性能怎么样?AMD Ryzen平台存储性能实测
- 组建新3A平台花费如何?AMD 300系主板上市价格曝光
- ROG STRIX B450-I GAMING领衔 3A平台小钢炮装机详解
- 中国移动C1儿童手表发布:396元/采用6种定位方式
- 新大陆FR40二维条码扫描平台怎么设置使用?
- 实现云计算平台即服务PaaS安全性的五步(图文)