YApi高级Mock远程代码执行漏洞如何防范,长尾词?
- 内容介绍
- 文章标签
- 相关推荐
本文共计582个文字,预计阅读时间需要3分钟。
YApi的远程+安全团队由一位红队选手组成,助力企业进行安全的威胁发现、漏洞预警。帮助大学生熟悉网络安全知识,增强网络安全意识。研究方向:漏洞挖掘。
YApi的远程天幕安全团队是由一帮主站红队的选手组成的,致力于帮助企业进行安全的威胁发现,漏洞预警。帮助在校大学生熟悉网络安全知识,增强网络安全意识。
研究方向:漏洞挖掘、CTF、红蓝对抗、授权渗透测试,木马分析等。
近日,网络上爆出 YApi 的远程代码执行 0day 漏洞 正被广泛利用。攻击者通过注册用户后,即可通过 Mock 功能远程执行任意代码。
漏洞描述
YAPI接口管理平台是国内某旅行网站的大前端技术中心开源项目,使用mock数据/脚本作为中间交互层,为前端后台开发与测试人员提供更优雅的接口管理服务,该系统被国内较多知名互联网企业所采用。
YApi 是高效、易用、功能强大的 api 管理平台。但因为大量用户使用 YAPI的默认配置并允许从外部网络访问 YApi服务,导致攻击者注册用户后,即可通过 Mock功能远程执行任意代码。
本文共计582个文字,预计阅读时间需要3分钟。
YApi的远程+安全团队由一位红队选手组成,助力企业进行安全的威胁发现、漏洞预警。帮助大学生熟悉网络安全知识,增强网络安全意识。研究方向:漏洞挖掘。
YApi的远程天幕安全团队是由一帮主站红队的选手组成的,致力于帮助企业进行安全的威胁发现,漏洞预警。帮助在校大学生熟悉网络安全知识,增强网络安全意识。
研究方向:漏洞挖掘、CTF、红蓝对抗、授权渗透测试,木马分析等。
近日,网络上爆出 YApi 的远程代码执行 0day 漏洞 正被广泛利用。攻击者通过注册用户后,即可通过 Mock 功能远程执行任意代码。
漏洞描述
YAPI接口管理平台是国内某旅行网站的大前端技术中心开源项目,使用mock数据/脚本作为中间交互层,为前端后台开发与测试人员提供更优雅的接口管理服务,该系统被国内较多知名互联网企业所采用。
YApi 是高效、易用、功能强大的 api 管理平台。但因为大量用户使用 YAPI的默认配置并允许从外部网络访问 YApi服务,导致攻击者注册用户后,即可通过 Mock功能远程执行任意代码。