怎么发现Oracle Responsys云服务系统中的漏洞
发布时间:2022-07-15 16:08:43 所属栏目:Linux 来源:互联网
导读:今天我要向大家展现的是,我如何发现了Oracle Responsys云效劳系统中的一个本地文件包含破绽(LFI)。由于当前很多商业销售、网络存储和社交关系公司都采用了Oracle Responsys的云处理计划,所以,该破绽对多个知名公司效劳形成影响,这些公司包括Facebook、
今天我要向大家展现的是,我如何发现了Oracle Responsys云效劳系统中的一个本地文件包含破绽(LFI)。由于当前很多商业销售、网络存储和社交关系公司都采用了Oracle Responsys的云处理计划,所以,该破绽对多个知名公司效劳形成影响,这些公司包括Facebook、Linkedin、Dropbox等。 如何发现Oracle Responsys云服务系统中的漏洞 Responsys:原先为一家领先的企业级B2C云营销软件提供商,公司主要向企业提供网络广告营销软件,帮助企业通过电子邮件、网站、移动设备、社交网络及展示广告进行营销宣传与沟通。2013年12月21日,甲骨文宣布斥资15亿美元收购,之后成为Oracle Responsys。Responsys进一步整合延伸了Oracle商业云、销售云、服务云、社交云及营销云等诸多客户关系云服务。 Responsys提供企业级别的B2C商业服务模式,当企业使用Responsys云服务方案进行了系统架设之后,Responsys会为每一个客户企业分配与其它企业不同的“私有IP”,以访问和使用其自身的云服务系统。 漏洞发现 这多少有点无心之举,我经常在邮箱中收到Facebook发给我的一些开发者邮件,这些邮件有些是发自域名为em.facebookmail.com的邮箱,就好比我邮箱中经常有一些来自fbdev@em.facebookmail.com的邮件,这引起了我的注意。漏洞挖掘思维让我觉得域名em.facebookmail.com可能会有点意思,于是经过一番DIG之后,我发现该域名与Facebook的”Responsys”云服务有关,而在之前其它的渗透测试场景中我曾对”Responsys”有所了解。 通常来说,这种通过目录遍历字符的注入而获取到目标服务器相关信息的做法,都是由于对代码和系统架构的审查和过滤不当造成的。 (编辑:PHP编程网 - 黄冈站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
站长推荐
热点阅读