网安原创文章推荐【2024/11/9】

文章预览

2024-11-09 微信公众号精选安全技术文章总览 洞见网安 2024-11-09 0x1  1day ｜ 网神SecGate3600-A1500会话鉴权逻辑漏洞 土拨鼠的安全屋 2024-11-09 20:57:12 该文章描述了网神SecGate3600-A1500设备中存在的一个严重的会话鉴权逻辑漏洞。此漏洞允许攻击者通过特定的POST请求绕过正常的登录验证流程，从而非法获得管理员级别的访问权限。具体来说，攻击者可以通过向目标设备发送一个构造好的HTTP POST请求来利用该漏洞。该请求的目标URL为'/cgi-bin/authUser/authManageSet.cgi'，并且需要携带特定的请求头和表单数据。请求头中包含了常见的浏览器信息（如User-Agent）以及接受的内容类型等标准字段。而关键在于请求体中的表单数据，它包含了用于创建或修改管理员账户的关键参数，例如'userName'和'pwd'分别用于指定用户名和密码。通过正确设置这些参数，攻击者能够成功 ………………………………