漏洞描述
瑞友天翼应用虚拟化系统(GWT System)是一款国内具有自主知识产权的应用虚拟化平台,基于服务器计算(Server-based Computing)。该系统将用户所有应用软件集中部署在天翼服务器上,客户端通过WEB即可快速安全地访问授权的应用软件,实现集中应用、远程接入和协同办公。系统通过独特的RAP协议(Remote Application Protocol)实现高效的远程访问,带宽需求仅为3KB/s(20kbps)。然而,GWT客户端登录参数Computer存在延时注入漏洞,攻击者可利用该漏洞获取数据库中的敏感信息(如管理员后台密码、用户个人信息),甚至在高权限情况下向服务器写入木马,进一步获取服务器系统权限。