TNT漏洞,安全隐忧还是技术突破?,TNT漏洞真的能成为技术创新的催化剂吗?

1、漏洞

CVE编号:CVE-2020-13379。

TNT漏洞,安全隐忧还是技术突破?,TNT漏洞真的能成为技术创新的催化剂吗?插图1
(图片来源网络,侵删)

漏洞入口点:/avatar/:hash 接口。

漏洞触发位置:wls-wsat.war,漏洞触发URL为/wls-wsat/CoordinatorPortType(POST)。

漏洞本质:构造SOAP(XML)格式的请求,在解析的过程中导致XMLDecoder反序列化漏洞。

2、技术细节

代码实现:在Grafana api.go文件中,路由/avatar/:hash会获取到接口中的hash值,并把它路由到secure.grafana.com,代码实现大体如下:

TNT漏洞,安全隐忧还是技术突破?,TNT漏洞真的能成为技术创新的催化剂吗?插图3
(图片来源网络,侵删)
     const (
         ...
     )

调用链分析:漏洞调用链包括weblogic.wsee.jaxws.workcontext.WorkContextServerTube.processRequest、weblogic.wsee.jaxws.workcontext.WorkContextTube.readHeaderOld、weblogic.wsee.workarea.WorkContextXmlInputAdapter等。

3、相关资源

网络安全门户:FreeBuf是国内领先的网络安全行业门户,同时也是爱好者们交流与分享安全技术的社区。

国家漏洞库:CCS2024 | 国家漏洞库网络安全漏洞治理产业协同创新研讨活动成功举办。

TNT漏洞涉及多个技术和平台,其核心在于通过特定接口和数据格式触发安全漏洞,了解这些细节有助于更好地防范和应对潜在的网络威胁。

TNT漏洞,安全隐忧还是技术突破?,TNT漏洞真的能成为技术创新的催化剂吗?插图5
(图片来源网络,侵删)

各位小伙伴们,我刚刚为大家分享了有关tnt漏洞的知识,希望对你们有所帮助。如果您还有其他相关问题需要解决,欢迎随时提出哦!

本文来源于互联网,如若侵权,请联系管理员删除,本文链接:https://www.9969.net/73026.html

(0)
上一篇 2024年10月10日 05:32
下一篇 2024年10月10日 05:44

相关推荐