免责声明:文章来源互联网收集整理,请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。
Ⅰ、漏洞描述
卡车卫星定位系统利用卫星导航技术对卡车进行实时定位和监控,包括卫星导航系统、车载终端设备、监控中心、数据通信网络以及地图数据和导航软件,主要功能包括实时定位监控、路况监测、行车安全和车辆调度管理,广泛应用于物流运输和车辆管理监控领域,提高车辆安全性、运输效率和管理水平。
卡车卫星定位系统 /user/create接口处存在未授权密码重置漏洞,恶意攻击者可能利用该漏洞重置用户密码,获取后台登录权限,使服务器处于不安全的状态
Ⅱ、fofa语句
icon_hash="1553867732"
Ⅲ、漏洞复现
1、构建数据包,重置用户密码
Ⅳ、Nuclei-POC
Ⅴ、修复建议
1、在进行密码重置之前,确保用户的身份得到了正确的验证和授权。可以通过多种方式进行验证,例如发送验证码到注册邮箱或手机号码,要求提供额外的个人信息等。
2、限制密码重置功能的访问权限,确保只有经过授权的用户才能够重置密码。这可以通过访问控制列表(ACL)或角色权限管理来实现。
圈子名称:ONEPIECE
圈子福利:每天更新最新漏洞情报1~2篇不等,不定时发放现金红包10-30元不等。
