Login
From:
DEVCORE 戴夫寇爾
(Uncensored)
subscribe
WEB2PY 反序列化的安全問題-CVE-2016-3957
https://devco.re/blog/2017/01/03/web2py-unserialize-code-execution-CVE-2016-3957/
links
backlinks
Roast topics
Find topics
Find it!
前言 在一次滲透測試的過程中,我們遇到了用 web2py 框架建構的應用程式。為了成功滲透目標,我們研究了 web2py,發現該框架範例應用程式中存在三個資訊洩漏問題,這些洩漏都會導致遠端命令執行 (RCE)。由於範例應用程式預設是開啟的,若沒有手動關閉,攻擊者可以直接利用洩漏資訊取得系統執行權限。這些問題編號分別為:CVE-2016-3952、CVE-2016-3953、CVE-2016-3954、CVE-2016-3957...
