主要观点总结
本文介绍了针对金蝶旗下EAS、ERP产品的历史漏洞梳理和响应POC的编写,以及更新了相关文库。文章描述了一键检测工具xazlscan的使用和相关功能,包括多线程指纹识别、漏洞探测等,并说明了该平台提供的漏洞说明内容。文章最后提到了平台的积分获取方式和积分消耗规则,呼吁用户在法律允许范围内完成渗透测试。
关键观点总结
关键观点1: 金蝶旗下EAS、ERP产品的历史漏洞梳理和POC编写
文章对金蝶云星空ERP产品和EAS服务器的漏洞进行了梳理,并完成了响应POC的编写和文库更新,每个POC对应一个文档,记录漏洞的复现过程及利用方式。
关键观点2: 一键检测工具xazlscan的介绍和功能
文章介绍了一键检测工具xazlscan的使用和相关功能,包括指纹识别、漏洞探测等,并提到该工具可以大大提高渗透测试人员的工作效率。
关键观点3: 平台的积分获取方式和积分消耗规则
文章提到了下载POC需要消耗平台积分,介绍了积分的获取方式,并强调了用户应在法律允许范围内完成渗透测试。
关键观点4: 平台的现状和未来发展
文章介绍了平台目前的运行状态,包括已经收录的POC数量、积分消耗情况,以及成为种子用户的权益。同时,文章也提到了平台未来的更新和发展方向。
文章预览
近日完成了针对金蝶旗下 EAS、ERP 产品所出现过的历史漏洞进行梳理,并完成响应 POC 的编写,并且同步更新文库,每一个 POC 均对应一个文档,用于记录漏洞的复现过程及利用方式,一键检测如图: 上图是针对金蝶云星空 ERP 产品的检测,所涉及漏洞包括反序列化命令执行与任意文件读取漏洞,下图为金蝶 EAS 服务器的相关漏洞,包括 jdni 注入、任意文件读取、任意文件上传等漏洞: 上面工具使用 xazlscan(POC 管理系统配套脚本)进行一键测试,大大提高漏洞探测的效率,该工具还支持多线程指纹识别,针对大量网站,一键完成指纹识别与漏洞探测,大大提高渗透测试人员的工作效率。项目地址: https://github.com/myh0st/xazlscan 其中指纹识别部分,会实时下载 POC 系统中最新的指纹库到本地,通过本地请求目标网站,进行指纹识别,最后根据指纹识别结
………………………………
