cve-2018-8715
Posted ying-hack
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了cve-2018-8715相关的知识,希望对你有一定的参考价值。
appweb 认证绕过 (cve-2018-8715)
appweb简介
Appweb是一个嵌入式HTTP Web服务器,主要的设计思路是安全。这是直接集成到客户的应用和设备,便于开发和部署基于Web的应用程序和设备。它迅速( 每秒处理3500多要求)而紧凑 ,其中包括支持动态网页制作,服务器端嵌入式脚本过程中的CGI ,可加载模块的SSL ,摘要式身份验证,虚拟主机, Apache样式配置,日志记录,单和多线程应用程序。它提供了大量的文档和示例。
漏洞影响版本
<7.0.3
漏洞概述
对于digest和form两种认证方式,如果用户传入的密码为null(也就是没有传递密码参数),appweb将因为一个逻辑错误导致直接认证成功,并返回session。
漏洞复现
!!!前提需要知道用户名
然后将除了用户名其他的东西删除就可以了
公众号
如果对安全感兴趣可以关注我们的公众号!我们会将自己学到的东西都分享给大家。当然也不止仅限于安全方面。
以上是关于cve-2018-8715的主要内容,如果未能解决你的问题,请参考以下文章