大华智能物联综合管理平台高危漏洞分析:justForTest后门账户引发的身份验证危机

最新推荐文章于 2025-09-17 16:32:28 发布
原创 最新推荐文章于 2025-09-17 16:32:28 发布 · 2.3k 阅读 · 9 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#智能物联综合管理平台 #物联网漏洞分析 #身份验证危机 #物联网安全 #漏洞复现

一、漏洞概述

浙江大华技术股份有限公司的智能物联综合管理平台(ICC) 被曝存在严重身份验证漏洞。攻击者可通过内置账户 justForTest 配合任意密码直接登录系统,导致未授权访问及敏感信息泄露。该漏洞因身份校验逻辑缺陷形成“后门”,威胁等级为高危。

二、漏洞复现与验证

资产测绘:使用FOFA寻找智能物联综合管理平台指纹
icon_hash="-1935899595"
body="*客户端会小于800*"

漏洞复现:

平台基本页面:

最低0.47元/天 解锁文章
漏洞复现大华智能ICC综合管理平台弱口令漏洞
晚风不及你
02-23 4948
大华智能ICC综合管理平台是一个集成了多种智能应用服务能力的平台。该平台提供了一系列的基础能力,如中台基础能力、各智能应用服务能力以及周边生态支持。
大华智能综合管理平台justForTest用户登录漏洞(含批量验证poc)
weixin_43567873的博客
04-22 1845
大华智能综合管理平台justForTest用户登录漏洞(含批量验证poc)
漏洞复现--大华ICC readpic任意文件读取漏洞
qq_53003652的博客
11-03 2004
对技术组件进行模块化和松耦合,将解决方案分层分级,提高面向智慧的数据接入与生态合作能力。ICC,即大华浩睿智能综合管理平台。该产品readpic存在任意文件读取漏洞大华ICC智能综合管理平台
大华股份监控存在高危漏洞【附POC】
jijisaq的博客
03-27 2145
同时,它还可以通过采集监控数据、提高管理监督效果,有效震慑违法犯罪行为的发生,并达到有效震慑违法犯罪行为的效果。大华DSS是大华的大型监控管理应用平台,支持几乎所有涉及监控等方面的操作,支持多级跨平台网等操作。由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,本公众号及作者不为此承担任何责任,一旦造成后果请自行承担!今年肯定能“一帆风顺,二龙腾飞,三羊开泰,四季平安,五福临门,六六大顺,七星高照,八方来财,九九同心,十全十美,百事亨通,千事吉祥,万事如意“。
漏洞预警】大华DSS数字监控系统 user_edit.action 接口敏感信息泄露漏洞分析
最新发布
骥龙信息的博客
09-17 562
一、漏洞概述:1.漏洞名称:大华DSS数字监控系统-user_edit.action-信息泄露漏洞2.漏洞类型: 敏感信息泄露/权限绕过3.威胁等级: 高危4.漏洞描述:大华DSS的某些版本中存在一个信息泄漏漏洞。攻击者可以利用这个漏洞获取到系统的账号和密码信息。这种未授权的信息访问可能导致攻击者完全控制受影响的系统,执行恶意操作、更改系统配置或获取其他敏感数据。此漏洞存在于处理用户凭证的某些功能或组件中,可能是由于不恰当的访问控制或数据保护不足导致的。
漏洞复现大华-智能综合管理平台-page-信息泄露
知黑而守白
02-01 812
浙江大华技术股份有限公司智能综合管理平台是一款基于物联网技术的综合性管理平台,旨在为企业和用户提供智能化、便捷化的物联网解决方案。该平台整合了大华技术在视频监控、数据采集、数据分析等方面的核心技术,实现了对各类物联网设备的统一管理和控制,提高了企业的运营效率和管理水平。智能综合管理平台 page 接口处存在信息泄漏。攻击者可通过构造特定的数据包可以获取系统敏感信息。
大华智能综合管理平台justForTest用户登录漏洞
qq_39573664的博客
12-27 4558
浙江大华技术股份有限公司智能综合管理平台 用户登录接口/evo-apigw/evo-oauth/oauth/token存在漏洞,使用用户justForTest/任意密码即可成功登录平台,造成信息泄露。
漏洞复现大华ICC智能综合管理平台任意文件读取漏洞
晚风不及你
03-10 4212
大华智能综合管理平台 iConnection Center(以下简称:ICC平台),是一套基于智能的综合业务管理平台软件,具备强大的后台服务能力,配套了B/S管理员端、C/S客户端、移动APP终端、小程序等不同应用端,满足用户各种使用需求。
漏洞复现大华DSS视频管理系统信息泄露漏洞
晚风不及你
02-20 3455
大华DSS数字监控系统是一个在通用安防视频监控系统基础上设计开发的系统,除了具有普通安防视频监控系统的实时监视、云台操作、录像回放、报警处理、设备治理等功能外,更注重用户使用的便利性。
大华智能综合管理平台 fastjson远程代码执行漏洞复现
0xSec
05-11 3599
​由于大华智能综合管理平台使用了存在漏洞的FastJson组件,未经身份验证的攻击者可利用/evo-runs/v1.0/auths/sysusers/random接口发送恶意的序列化数据执行任意指令,造成代码执行。
大华智能综合管理平台 log4j远程代码执行漏洞复现
0xSec
05-11 2537
大华ICC智能综合管理平台/evo-apigw/evo-brm/1.2.0/user/is-exist 接口处存在log4j远程代码执行漏洞,未经身份验证的攻击者可以利用此漏洞远程代码执行,进一步构造系统内部利用链可导致服务器失陷。
漏洞复现大华-智能综合管理平台-默认口令-token
知黑而守白
05-24 1309
浙江大华技术股份有限公司智能综合管理平台是一款基于物联网技术的综合性管理平台,旨在为企业和用户提供智能化、便捷化的物联网解决方案。该平台整合了大华技术在视频监控、数据采集、数据分析等方面的核心技术,实现了对各类物联网设备的统一管理和控制,提高了企业的运营效率和管理水平。智能综合管理平台存在默认密码漏洞,通过默认用户名密码可以访问后台。
漏洞复现大华-智慧园区综合管理平台-wpms-deleteftp-远程命令执行
知黑而守白
02-01 522
大华智慧园区综合管理平台是一款基于云计算、大数据、人工智能等技术的智慧园区管理解决方案,可为园区提供运营管理、综合安防、便捷通行、协同办公等多项功能,帮助园区实现安全等级提升、工作效率提升、管理成本下降。大华智慧园区综合管理平台 deleteftp 接口处存在远命令执行漏洞,使得攻击者可以通过构造特定的请求远程执行恶意代码。此漏洞可能导致攻击者获取系统权限、执行任意命令,严重威胁系统的机密性和完整性。
[未公开0day]大*智能综合管理平台(ICC)存在管理员密码重置漏洞
LiangYueSec的博客
06-26 2352
[未公开0day]大*智能综合管理平台(ICC)存在管理员密码重置漏洞
漏洞复现|大华智慧园区综合管理平台存在未授权高危漏洞(0Day)及以往漏洞合集
weixin_44217321的博客
02-27 4924
大华智慧园区综合管理平台客户端由于前台缺少访问控制授权措施,可以从ip/WPMS进行定位,借助Payload进行漏洞触发,从而达到获取服务器数据的影响。大华园区综合管理平台/emap/webservice/gis/soap/bitmap接口处存在任意文件上传漏洞,恶意攻击者可能会上传后门文件,造成服务器失陷。大华智慧园区设备开放了文件上传功能,但未在上传的文件类型、大小、格式、路径等方面进行严格的限制和过滤,导致攻击者可以通过构造恶意文件并上传到设备上,然后利用该漏洞获取权限并执行任意命令。
漏洞复现大华智能ICC综合管理平台文件读取漏洞
晚风不及你
02-23 4373
大华智能ICC综合管理平台是一个集成了多种智能应用服务能力的平台。该平台提供了一系列的基础能力,如中台基础能力、各智能应用服务能力以及周边生态支持。
漏洞复现大华ICC智能综合管理平台token弱口令漏洞
晚风不及你
03-09 2165
大华智能综合管理平台 iConnection Center(以下简称:ICC平台),是一套基于智能的综合业务管理平台软件,具备强大的后台服务能力,配套了B/S管理员端、C/S客户端、移动APP终端、小程序等不同应用端,满足用户各种使用需求。
大华智能综合管理平台 任意文件读取漏洞复现(QVD-2023-45063)
0xSec
02-01 1544
大华ICC智能综合管理平台readpic接口处存在任意文件读取漏洞,未经身份验证的攻击者 可以获取系统内部敏感文件信息,使系统处于极不安全的状态。
大华智能综合管理平台 fastjson反序列化漏洞
一个努力学习网安的小牛马
05-14 2424
反序列化漏洞未公开
大华智能综合管理平台justForTest用户登录漏洞利用过程
03-24
好的,我现在需要帮助用户了解大华智能综合管理平台justForTest用户登录漏洞的利用方法。首先,我需要回顾用户提供的引用内容,确保信息准确。用户提供了四个引用,其中引用3和4详细描述了该漏洞,而引用2提到...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值