Aggregator

2023年HVV中爆出来的洞了，但是有一些漏洞点修复了，刚好地市级的攻防演练中遇到了一个，想着把可能出现问题的点全部审计一下，顺便熟悉一下.net代码审计。ps:感兴趣的师傅们可以自行根据poc搜索源码。

好吧，当我没说，下载dnspy反编译即可，但是首先要找到web逻辑代码才能开始审计，因为这套oa是使用了mvc开发模式，简单介绍一下mvc，其实就是model，controller，view，其中的view是视图也就是html等展示给用户看的东西，model是模型也就是控制数据库的代码。controller是控制器负责执行代码的逻辑，也就是我们需要审计的地方了。

然后找到controller就是web的主要逻辑了。

首先可以随便点入一个controller，发现filesController继承自TopVisionApi。

然后我们发现IsAuthorityCheck()这个函数用于判断权限。

首先看到第一行代码getByValue这个函数,其实Request.Properties["MS_HttpContext"]).Request[value]就是获取http请求中的某个参数，而value就是调用传过来的参数，在这里是token，那么这段代码就是获取http中的token参数。

然后if判断了token是不是空值然后再判断token参数的值是不是等于"zxh"，如果登录则直接返回一个UserInfo对象。

然后回到filesController的身份判断，发现只判断了IsAuthorityCheck返回是否为null，所以只需要让token参数是zxh的时候，那么就可以绕过身份校验了。

还是 filesController 这个控制器 DownloadRptFile方法。这时我们已经绕过了身份认证，所以只需要看之后代码即可。requestFileName就是我们传递的http参数，

然后跟进代码。并未发现任何过滤../的行为，直接传递给getBinaryFile函数

getBinaryFile函数如下。

结果证明: （读取文件内容会以base64返回）

发现GetCurrentUserList方法查询了所有用户信息。并且返回给前台。

<UserInfo>是c#中的泛型，这里是用来查询数据库的。可以看到遍历了dicUserList这个数组。这个数组就是初始化的用户信息数组了。

直接访问：

发现DeleteFile2方法是一个删除文件方法。这里也没有发现过滤../以及过滤删除文件的后缀名。

虽然是有限制了文件路径，但是全然没有过滤../，而且filename参数也是完全可控的。所以这里其实是存在任意文件删除漏洞的。

ps: 这里就不放验证截图了，感兴趣的师傅们可以自行本地验证。

UploadFile2方法中获取了各种参数，然后传入UploadFile2

跟进该方法。pathType就是限制文件上传到哪个文件夹的。

pathType详解：

fs参数是我们传递的byte数组也就是文件的内容。

startPoint等于0就好这样才能创建一个新的文件，datasize则是数组的长度。

漏洞验证：

InventoryController的GetProductInv方法，直接从参数获取boxNoName未经过过滤直接通过string.Format拼接至sql语句中，导致了sql注入。

验证：直接sqlmap即可

In this Help Net Security interview, Nuno Martins da Silveira Teodoro, VP of Group Cybersecurity at Solaris, discusses the latest advancements in digital banking security. He talks about how AI and ML are reshaping fraud detection, the growing trend of passwordless authentication, and the security risks facing mobile banking apps. Nuno also discusses the balance between ensuring security and providing a seamless, user-friendly experience for customers.

The post How AI and ML are transforming digital banking security appeared first on Help Net Security.

Application Security DevOps engineer Twixor | India | On-site – View job details As an Application Security DevOps engineer, you will implement and oversee application security measures to protect company’s software and infrastructure. Conduct regular security assessments and vulnerability testing. Develop and maintain secure coding practices and standards. Design, implement, and maintain secure CI/CD pipelines. Perform threat modeling and risk assessments. CISO Degroof Petercam | Belgium | Hybrid – View job details As a CISO, … More →

The post Cybersecurity jobs available right now: January 14, 2025 appeared first on Help Net Security.

From zero-day exploits to weaknesses in widely used software and hardware, the vulnerabilities uncovered last year underscore threat actors’ tactics and the critical gaps in organizational defenses. This roundup showcases the standout findings from 2024’s cybersecurity reports, highlighting critical risks and emerging threats that demand attention. Whether you’re a security leader, IT professional, or cybersecurity-conscious, these insights will help frame the priorities and strategies needed to stay resilient. Zero-days dominate top frequently exploited vulnerabilities The … More →

The post What 2024 taught us about security vulnerabilties appeared first on Help Net Security.

去年，诈骗者在针对超过 300,000 个钱包地址的钱包耗尽攻击中窃取了价值 4.94 亿美元的加密货币，比 2023 年增加了 67%，受害者人数仅增加了 3.7%，表明受害者平均持有金额更多。

这些数据来自 web3 反诈骗平台“Scam Sniffer”，该平台已经追踪钱包盗取活动有一段时间，之前报告的攻击浪潮一次影响了多达 10 万人。

钱包加密流水机是专门设计用于从用户钱包中窃取加密货币或其他数字资产的网络钓鱼工具，通常部署在虚假或受损的网站上。

2024 年，Scam Sniffer 观察到 30 起通过钱包盗取者进行的大规模（超过 100 万美元）盗窃案，其中最大的一起盗窃案兑现了价值 5540 万美元的加密货币。这种情况发生在今年年初，当时比特币价格上涨助长了网络钓鱼活动。今年第一季度，共有 1.87 亿美元通过钱包盗用攻击被盗。

每月损失金额和受影响的钱包数量

今年第二季度，一个名为“Pink Drainer”的著名流水服务宣布退出，该服务此前曾冒充记者进行网络钓鱼攻击，以危害 Discord 和 Twitter 账户，实施加密货币窃取攻击。

尽管这导致网络钓鱼活动有所减少，但诈骗者在第三季度开始逐渐加快步伐，其中 Inferno 服务带头，在 8 月和 9 月总共造成了 1.1 亿美元的损失。最终，该活动在今年最后一个季度被平息，仅占 2024 年记录的总损失的 10.3% 左右。ScamSniffer 表示，当时 Acedrainer 也成为主要参与者，占据了加密流水机市场的 20% 。

加密流水机每月活动

大部分损失 (85.3%) 发生在以太坊上，金额达 1.52 亿美元，而质押 (40.9%) 和稳定币 (33.5%) 是最有针对性的损失之一。

关于 2024 年的趋势，Scam Sniffer 强调了使用虚假 CAPTCHA 和 Cloudflare 页面以及 IPFS 来逃避检测，以及促进金钱盗窃的签名类型的转变。

具体来说，大多数盗窃案都是依靠“Permit”签名（56.7%）或“setOwner”（31.9%）来窃取资金。第一个根据 EIP-2612 标准批准代币支出，而第二个则更新智能合约所有权或管理权限。

另一个值得注意的趋势是越来越多地使用 Google Ads 和 Twitter 广告作为网络钓鱼网站的流量来源，攻击者使用受感染的帐户、机器人和虚假代币空投来实现其目标。

X 上推动加密货币流失的虚假账户数量

为了防止 Web3 攻击，建议仅与受信任和经过验证的网站进行交互，与官方项目网站交叉检查 URL，在签名之前阅读交易批准提示和权限请求，并在执行交易之前模拟交易。

许多钱包还提供针对网络钓鱼或恶意交易的内置提醒，因此请务必启用这些提醒。最后，请使用令牌撤销工具来确保没有可疑权限处于活动状态。

回望2024，这是一个挑战与机遇并存的年份，也是国投智能以科技创新为引擎，加速产业变革，铸就新篇章的关键一年。在这一年里，国投智能凭借其在人工智能、大数据等多个领域的深厚积累与前瞻布局，不仅实现了自身业务的飞速发展，更为国家科技发展和产业升级贡献了重要力量。值此岁末年初，国投智能2024年度十大事件正式发布，让我们一起回顾！

2024年度十大事件

01 国投智能ALL IN AI，科技赋能产业创新再突破

2024年，国投智能紧密响应党中央、国资委及国投集团的号召与指引，积极顺应新一轮科技革命与产业变革的大势，毅然投身于人工智能这一引领未来的前沿科技领域。公司集中优势资源，增加创新投入，致力于将人工智能技术深度融入集团的数字化转型战略之中。通过推动公司各业务线产品向大模型化演进，国投智能不仅极大地激发了科技创新的内生动力与活力，还在科技创新工作中取得了显著的新突破，为集团的持续发展注入了强大动能。

公司自主研发的美亚“天擎”大模型，成为国内首个通过备案的公共安全领域大模型算法。以“天擎”为基座，公司推出自主可控、多端适用的大模型对话平台Qiko及大模型智能体构建平台Qiko+，目前已在公安、司法、海关等行业部署应用。Qiko在推动各业务线产品大模型化的同时，还赋能国投集团打造“公文助手”“集团员工小助手”“法律（合同）助手”“财务助手”等应用，上线“国投AI数字人”，为集团数字化转型和智能化升级注入新活力。

在第五届中国人工智能大赛中，国投智能在“大模型安全攻防赛”、“AIGC视频检测赛”、“人工智能赋能政府服务场景能力验证赛”三个赛道中荣获最高等级A级证书（金奖）。此次获奖是对公司人工智能领域技术实力的高度认可，展现了公司在人工智能领域领先的技术算法实力、业务落地能力和团队协作能力。

02 国投智能再次获评国资委“科改示范企业”专项考核标杆，加快培育新质生产力

2024年，国投智能再次在国务院国资委中央企业“科改行动”“双百行动”2023年度专项考核中获评标杆，该事件也被纳入“激励国投”2024年度十大要事中。自2022年3月入选“科改示范企业”以来，国投智能积极落实各项改革工作，持续深化改革力度，在完善公司治理、健全市场化选人用人、强化市场化激励约束、激发科技创新动能等方面，均取得了显著成效。

截至2024年12月31日，国投智能共取得授权专利781项，国际专利5项，有效注册商标135项，软件著作权1240项，参与制定24 项国家标准、33项行业标准、18项地方标准。

在国投集团公布的首批科技创新平台暨科技创新人才培养示范基地名单中，国投智能被授予“国投集团AI万链实验室”暨“国投集团科技创新人才培养示范基地（人工智能领域）”。这是集团对重点科技型企业赋能的有力举措，有利于加强国投智能在AI领域的科研能力，强化科技人才的引育用留，助力公司发质量发展，加快推进集团的数字化转型和新质生产力的培育。

此外，由国投集团选送的国投智能“以自主技术乾坤大数据操作系统为技术基座，开发电子数据取证、公共安全大数据等网络空间安全产品得到广泛应用”案例入选“2023年度中国企业新质生产力优秀案例（首批·百佳）”。该奖项在第二十一届中国企业发展论坛暨“2023年度中国企业影响力十件大事”系列发布仪式上发布。

03 国投智能并购南京金鼎科技，开启纪检监察行业发展新篇章

2024年10月22日，国投智能收购南京金鼎嘉崎信息科技有限公司55%股权签约仪式在厦门举行，南京金鼎正式成为国投智能控股子公司。此次并购是国投智能由国投集团直接管理后的第一个并购项目，符合国投智能战略定位，能够与既有电子数据取证业务有效协同并开拓新行业市场，形成新的业务增长点，助力实现规划发展目标。同时，进一步提升服务政府和企业数字化转型的数字化、智能化服务能力。

下一步，国投智能将践行国有资本投资公司的目标和使命，赋能并增强南京金鼎科技的产业竞争力，实现其与国投智能的紧密融合，达到“1+1>2”的协同效应。同时，公司将着力提高南京金鼎科技在支持政府数字化转型方面的能力，以期在更广泛的领域提供更加高效、专业的服务。

04 优化国投云网股权：引入集团资源支持，打造专业化央企数科公司

2024年，为落实国投集团“十四五”信息化和数字化规划各项举措，支持全资子公司国投云网提升服务集团信息化建设和数字治理能力，推进企业端（TO B）业务。国投智能进行股权优化，向国投集团转让其持有的国投云网40%股权。

该举措将助力国投云网提升服务国投集团信息化建设和数字治理能力，赋能国投云网健康可持续发展，在快速变化的数字科技领域提升竞争力。同时，为国投云网拓展更多业务及合作的窗口，增加在行业内的影响力和话语权，推动国投智能可持续发展。

2024年度，国投云网成功中标集团信息系统运维服务项目，这是落实集团战略与管理优化要求的重要成果，更标志着国投云网全面承接集团信息化服务工作的崭新起点。同时，国投云网持续拓展面向企业侧的信息化、数字化业务，通过提供优质的解决方案和服务，赋能中石化、雅砻江水电、国投罗钾等央国企的数字化转型。

05 荣获国际顶级认可！国投智能顺利通过CMMI5级认证

2024年，国投智能顺利通过CMMI5级（最高等级）认证，并荣获CMMI5级证书，标志着公司在软件研发领域的卓越追求与创新实践取得了显著成效，也成为了公司研发体系向标准化、规范化以及国际化进程迈进的一座重要里程碑，彰显了公司在行业内的领先地位与持续优化的能力。

CMMI全称Capability Maturity Model Integration（能力成熟度集成模型），是全球公认的权威标准，旨在衡量企业研发能力成熟度和项目管理水平，其中CMMI5为最高等级。能否通过CMMI认证已经成为业内衡量软件企业工程开发能力的重要标志之一。

06 第十届“美亚杯”电子数据取证大赛及国际赛圆满举行

2024年11月9日至10日，由国投智能承办的“美亚杯”第十届中国电子数据取证大赛暨数智安全新技术研讨会在厦门成功举行，来自全国政府单位、高校、研究所、专业机构、企业等的近3000名取证精英、近1000支参赛队伍同台竞技。其中，包括赣南科技学院、深圳信息职业技术学院等近30所综合类院校首次参与角逐。大赛同期举办“取证大牛内部赛”，“内部赛”严格遵循“美亚杯”大赛的规范与标准，实行独立计分与排名机制，与公开赛成绩相较，无论是个人赛还是团体赛，美亚柏科参赛队伍均获得职业组第一的佳绩。

截至目前，“美亚杯”已成功举办十届，凭借其专业性、权威性与实践性，吸引了众多优秀选手踊跃参与，累计参赛人数超过万人。

07 国投智能成功转让孵化企业美亚亿安20%股权

2024年，国投智能成功转让美亚亿安20%股权，引入战略投资者，这一举措充分助力美亚亿安拓宽市场资源，也标志着国投智能在资本运作与成果转化上取得新成就。通过精准布局与适时退出，国投智能实现了国有资产保值增值，为数字经济、智能制造等领域的未来布局奠定了坚实基础。

08 中标某省大数据应用平台项目，公共安全大数据业务步入新阶段

2024年，国投智能全资子公司新德汇成功中标某省大数据应用平台项目。该项目的中标标志着公司开启了该省公共安全大数据平台主体建设的新阶段，为后续建设更高层级、更广维度的大数据平台铺就稳固轨道，有助于进一步开拓行业市场。该平台将进一步助力执法部门横向加强与通信、互联网、金融等多行业的合作，实现线索的高效流转与处置；纵向对接上级单位，精准下达指令，为保障该省社会公共安全筑起坚实屏障。

09 国投智能加速推进网络安全业务，应用落地取得新成果

2024年，国投智能加速推进网络安全业务的布局与深化，国投智能控股子公司安胜依托“星盾”多源威胁检测响应平台打造全方位的网络安全防护体系，集成网络安全大模型能力，极大提升了平台的风险感知准确率和风险自动处置能力，为网络安全运营体系建设提供了场景实践。安胜联合厦门工学院申报的网络安全综合防控平台项目入选国家级试点示范项目，为福建省唯二入选的两家企业之一，充分展示了公司的技术创新与产品实力。

在项目落地方面，安胜成功中标福厦机场建设信息安全检测与服务项目。福厦机场是中央支持福建全方位推进高质量发展超越的重大基础设施。安胜正以此项目为基础，积极打造机场网络安全建设领域的咨询规划标杆案例，着力在推动城市基础设施现代化进程中发挥重要作用。

10 出版国内首套电子数据取证分析师教材，国投智能职业技能培训全面升级

2024年，国投智能进一步升级并优化了职业技能培训体系，推动职业教育再创新高。一是编写出版了国内首套《电子数据取证分析师》（国家职业资格三、四级）专业教材，填补了国内在该领域职业培训教材的空白，有力促进了该职业的专业化发展；二是入选福建省人力资源和社会保障厅2024年省级高级技能人才培训基地备案名单及第二批省级专业技术人员继续教育基地名单，为公司职业技能培训与继续教育提供了更广阔的平台；三是顺利通过新职业“人工智能训练师”职业技能等级认定的专家评审，为培训及考核认定工作奠定基础，有力增强了公司在该领域的影响力和市场竞争力；四是与全资子公司江苏税软合作推出人力资源和社会保障部社会保障能力建设中心的电子数据调账分析技术职业培训认证项目，并成功开展四期培训，进一步推动了电子数据调账分析技术在相关领域的应用与发展。

展望2025年，国投智能将站在新的历史起点上，继续秉承“数据更智能，网络更安全”的使命，深化科技创新与产业升级的融合，推动公司向更高质量、更高水平迈进。我们将进一步优化战略布局，加大在前沿科技领域的研发投入，加快培育新兴产业，提升核心竞争力。

同时，国投智能也将积极响应国家号召，深化国企改革，激发内部活力，为公司的可持续发展注入强劲动力，持续服务国家“网络空间安全”和“数字中国”战略，力争早日成为全球领先的数据智能与安全服务公司，为实现中华民族伟大复兴的中国梦贡献更大的力量。