cve-2018-8715

Posted ying-hack

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了cve-2018-8715相关的知识,希望对你有一定的参考价值。

appweb 认证绕过 (cve-2018-8715)

appweb简介

Appweb是一个嵌入式HTTP Web服务器,主要的设计思路是安全。这是直接集成到客户的应用和设备,便于开发和部署基于Web的应用程序和设备。它迅速( 每秒处理3500多要求)而紧凑 ,其中包括支持动态网页制作,服务器端嵌入式脚本过程中的CGI ,可加载模块的SSL ,摘要式身份验证,虚拟主机, Apache样式配置,日志记录,单和多线程应用程序。它提供了大量的文档和示例。

漏洞影响版本

<7.0.3

漏洞概述

对于digest和form两种认证方式,如果用户传入的密码为null(也就是没有传递密码参数),appweb将因为一个逻辑错误导致直接认证成功,并返回session。

漏洞复现

!!!前提需要知道用户名
然后将除了用户名其他的东西删除就可以了

公众号

如果对安全感兴趣可以关注我们的公众号!我们会将自己学到的东西都分享给大家。当然也不止仅限于安全方面。

以上是关于cve-2018-8715的主要内容,如果未能解决你的问题,请参考以下文章

cve-2018-8715

cve-2018-8715

Appweb(CVE-2018-8715)漏洞复现

微信小程序代码片段

VSCode自定义代码片段——CSS选择器

谷歌浏览器调试jsp 引入代码片段,如何调试代码片段中的js