问答
发起
提问
文章
攻防
活动
Toggle navigation
首页
(current)
问答
商城
实战攻防技术
漏洞分析与复现
NEW
活动
摸鱼办
搜索
登录
注册
Zabbix SAML身份绕过漏洞 CVE-2022-23131
--- title: Zabbix SAML身份绕过漏洞 CVE-2022-23131 --- # Zabbix SAML身份绕过漏洞 CVE-2022-23131 ## 漏洞描述 Zabbix 是一个非常流行的开源监控平台,用于收集、集中和跟踪整个...
- - - - - - title: Zabbix SAML身份绕过漏洞 CVE-2022-23131 --------------------------------------- Zabbix SAML身份绕过漏洞 CVE-2022-23131 ================================ 漏洞描述 ---- Zabbix 是一个非常流行的开源监控平台,用于收集、集中和跟踪整个基础设施中的 CPU 负载和网络流量等指标。它与 Pandora FMS 和 Nagios 等解决方案非常相似。由于其受欢迎程度、功能和在大多数公司网络中的特权地位,Zabbix 是威胁参与者的高调目标。一家公共漏洞经纪人,一家专门从事安全漏洞获取的公司,也公开宣布了他们对该软件的兴趣。 我们在 Zabbix 的客户端会话实现中发现了一个严重漏洞,该漏洞可能导致整个网络遭到破坏。在本文中,我们介绍了不同类型的会话存储,并讨论了实现安全的原因。然后,我们描述了我们在 Zabbix 中发现的漏洞的技术细节、其影响以及如何预防。让我们深入了解它! 漏洞影响 ---- Zabbix 网络测绘 ---- app="ZABBIX-监控系统" && body="saml" 漏洞复现 ---- 登录页面 ![img](https://shs3.b.qianxin.com/butian_public/f156361f3fc610b92def7af8db6778063f90ad2121b55.jpg) 通过POC获取 zbx\_session ![img](https://shs3.b.qianxin.com/butian_public/f35635019fad55a595193b1abd26dcd3f22a8792d0a26.jpg) 替换后点击 SAML登录 ![img](https://shs3.b.qianxin.com/butian_public/f1625236314d3cd0fcd9254926f0004f1b73b22a37760.jpg) ![img](https://shs3.b.qianxin.com/butian_public/f231770fe7b1b2246a5ba80d233230c8235755679279f.jpg)
发表于 2024-07-12 18:45:31
阅读 ( 1044 )
分类:
Web服务器
0 推荐
收藏
0 条评论
请先
登录
后评论
带头大哥
456 篇文章
×
发送私信
请先
登录
后发送私信
×
举报此文章
垃圾广告信息:
广告、推广、测试等内容
违规内容:
色情、暴力、血腥、敏感信息等内容
不友善内容:
人身攻击、挑衅辱骂、恶意行为
其他原因:
请补充说明
举报原因:
×
如果觉得我的文章对您有用,请随意打赏。你的支持将鼓励我继续创作!