瑞星卡卡安全论坛

首页 » 企业产品讨论区 » 瑞星防毒墙5.0、瑞星下一代防火墙 » 瑞星防毒墙CSRF问题
vr_system - 2018-9-4 13:39:00
您好。瑞星防毒墙存在CSRF漏洞,下面是测试过程,测试后已经还原。

admin:admin 登陆后

使用以下POC,能够添加用户:


用户系统信息:Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/68.0.3440.15 Safari/537.36
麦青儿 - 2018-9-4 17:31:00
谢谢告知,已转给瑞星相关人员核实
麦青儿 - 2018-9-5 11:51:00
工程师回复:这种情况并非漏洞。
管理员进行防毒墙的web管理过程中,虽然是通过浏览器通过web管理界面进行,但实际上也是将界面的操作转化为命令,然后发送给防毒墙,也都是通过POST的方式把命令发送到防毒墙端。一楼的测试方法,首先是以admin方式登录了防毒墙,获取了防毒墙的web管理权限,并且admin是防毒墙web管理默认的超级管理员,具备web管理的所有权限,然后进行了创建用户的操作,只不过把界面操作省略了,直接通过命令根据指定的格式发给防毒墙,这种操作实际上就是一个正常的管理操作,只不过不方便普通用户使用罢了,但这个并不能说是防毒墙有漏洞。
如果不使用admin登录防毒墙,能够成功创建web管理账号,那才可以说防毒墙有安全漏洞。
1
查看完整版本: 瑞星防毒墙CSRF问题