国产美女精品自在线拍照片,欧美人与兽,欧美成人高清在线播放,欧美成人精品三级网站,两个人免费完整在线观看直播

政府電腦系統(tǒng)國產(chǎn)化替代:甘孜政府公文系統(tǒng)中Oracle人力資源管理系統(tǒng)PeopleSoft未授權(quán)遠(yuǎn)程代碼執(zhí)行漏洞解析

時(shí)間:2024-11-27 14:12:45 信創(chuàng)OA資訊首頁


剛剛,華為被爆正遭美國司法部調(diào)查!:

若真的被美方認(rèn)定違反了伊朗禁運(yùn)政策,華為或?qū)⒂肋h(yuǎn)失去美國市場,甚至如中興一樣,被斷所有美國“貨源”,包括硬件和軟件。據(jù)華爾街日?qǐng)?bào)報(bào)道,美國司法部正在調(diào)查華為公司是否違反向伊朗禁運(yùn)的有關(guān)制裁! 這是繼中興事件后,美國政府針對(duì)國內(nèi)科技公司的又一大動(dòng)作。華為“原罪”為何? 眾所周知,美國商務(wù)部將禁止美國企業(yè)向中興通訊銷售元器件的原因是,美方認(rèn)為“中興合謀在未獲得美國政府許可的情況下向伊朗出口美國產(chǎn)品,妨礙司法以及制造重大不實(shí)陳述”,此次調(diào)查華為,美方用了同樣的理由:懷疑華為違反了美國的伊朗禁運(yùn)政策 但由于美伊關(guān)系走向正?;?,美國要求伊朗提供在禁運(yùn)制裁期,中國違反禁運(yùn)制裁的企業(yè)名單。而伊朗在提交的名單中,提及了華為和中興。 2003年1月,全球領(lǐng)先的網(wǎng)絡(luò)解決方案供應(yīng)商思科在美國得克薩斯州東區(qū)聯(lián)邦法庭對(duì)華為提起控訴,稱華為在多款路由器和交換機(jī)中盜用了其源代碼,不僅產(chǎn)品與思科雷同,還侵犯了他們至少5項(xiàng)專利。

ecm是什么-企業(yè)內(nèi)容管理:

【界定】   企業(yè)內(nèi)容管理系統(tǒng)軟件(ecm系統(tǒng)軟件)與erp、oa、信創(chuàng)政務(wù)OA、hrms一樣歸屬于一種手機(jī)軟件種類。 這在一定水平上反映出企業(yè)內(nèi)容管理技術(shù)性的演化過程:從以集中型后面管理方法為主導(dǎo)的手機(jī)軟件方式、變化為分布式系統(tǒng)、服務(wù)項(xiàng)目導(dǎo)向性的服務(wù)平臺(tái)方式。 、聯(lián)邦政府構(gòu)架、混和云計(jì)算平臺(tái)。 ecm最開始朝向企業(yè)對(duì)職工(b2e)系統(tǒng)軟件,如今為企業(yè)對(duì)企業(yè)(b2b),企業(yè)對(duì)政府部門(b2g),政府部門對(duì)企業(yè)(g2b)和別的市場細(xì)分給予解決方案。      saas模式(saas)   當(dāng)?shù)匕惭b的saas和第三方軟件解決方案的結(jié)合體   ecm的關(guān)鍵優(yōu)點(diǎn)包含:   更高效率,更具有成本效益的文本文檔管理和操縱,以促進(jìn)企業(yè)選用   保證符合實(shí)際政府部門和領(lǐng)域政策法規(guī)

泛微 e-cology oa 前臺(tái)sql注入漏洞復(fù)現(xiàn):

費(fèi)控管理等功能,適用于手機(jī)和pc端,是當(dāng)今比較主流的政務(wù)OA系統(tǒng)之一。 0x01 原理概述----該漏洞是由于政務(wù)OA系統(tǒng)的workflowcentertreedata接口在收到用戶輸入的時(shí)候未進(jìn)行安全過濾,oracle數(shù)據(jù)庫傳入惡意sql語句,導(dǎo)致sql漏洞。 0x02 影響范圍----使用oracle數(shù)據(jù)庫的泛微 e-cology oa 系統(tǒng) 0x03 環(huán)境搭建----在線環(huán)境(限今晚):打賞(任意金額)+轉(zhuǎn)發(fā),聯(lián)系作者獲取fofa搜索:app泛微-協(xié)同辦公 oa 自行搭建: 公眾號(hào)內(nèi)回復(fù)“泛微環(huán)境”0x04 漏洞利用----找到oracle數(shù)據(jù)庫的泛微政務(wù)OA系統(tǒng)后直接使用poc(已公開)如果不存在漏洞,則顯示結(jié)果如下? 參考鏈接:https:mp.weixin.qq.comsgbr_imrbcvgtzfennah-lg

把“ai威脅論”觀念植入馬斯克大腦的那個(gè)人,現(xiàn)在“反水”了:

“想象一下,你有機(jī)會(huì)告訴全美國最有權(quán)勢的50位政客,自己認(rèn)為需要政府立即行動(dòng)的、最急迫的問題是什么。過去的這個(gè)周末馬斯克就有這樣的機(jī)會(huì)。結(jié)果他選擇提醒這些州長對(duì)人工智能保持警惕,以免其消滅人類?!?yann lecun后來也轉(zhuǎn)推了這篇文章。沒完。轉(zhuǎn)天,《發(fā)現(xiàn)》雜志干脆直接了聯(lián)系了幾位計(jì)算機(jī)科學(xué)和未來學(xué)領(lǐng)域的大牛,正面對(duì)馬斯克的觀點(diǎn)進(jìn)行回應(yīng)。 對(duì)于工作和武器系統(tǒng)這些東西的影響。 “不過伊隆在一件事上說對(duì)了:我們需要政府現(xiàn)在就開始對(duì)ai進(jìn)行管控。 無論是支持還是反對(duì),對(duì)這些言論,他沒有做出任何回應(yīng)——在最近的推特上,他宣布自己剛剛拿到了政府對(duì)于在地下建造連接紐約、費(fèi)城、巴爾的摩與華盛頓的超級(jí)高鐵hyperloop的口頭許可。

政府電腦系統(tǒng)國產(chǎn)化替代:甘孜政府公文系統(tǒng)中oracle人力資源管理系統(tǒng)peoplesoft未授權(quán)遠(yuǎn)程代碼執(zhí)行漏洞解析

政務(wù)OA廠商是首選。   OA產(chǎn)品同質(zhì)化現(xiàn)象嚴(yán)重,oa技術(shù)已逐漸走向成熟,能夠提供更優(yōu)質(zhì)的服務(wù)才令政務(wù)OA廠商具備更高的競爭力。那么在政務(wù)OA系統(tǒng)服務(wù)上,應(yīng)該從哪些方面去考量政務(wù)OA廠商的實(shí)力呢?   其一,售前講解與試用   政務(wù)OA廠商面對(duì)用戶的第一階段應(yīng)該是剛剛接觸用戶,用戶或許通過自身渠道或內(nèi)部cio的建議對(duì)市面上的OA產(chǎn)品有過一定了解,此時(shí)政務(wù)OA廠商在提供試用渠道的基礎(chǔ)上,針對(duì)用戶提出的多樣化需求予以解答,不斷調(diào)整OA產(chǎn)品功能適應(yīng)用戶需求,是否有功能定制和開發(fā)需要。由于OA產(chǎn)品缺少行業(yè)標(biāo)準(zhǔn)化產(chǎn)品,各家功能側(cè)重點(diǎn)不同,應(yīng)該從用戶自身出發(fā)調(diào)整產(chǎn)品功能;針對(duì)缺乏對(duì)OA產(chǎn)品了解的用戶,應(yīng)該從基本功能對(duì)OA產(chǎn)品進(jìn)行概述,為用戶提供多種解決方案。   政務(wù)OA系統(tǒng)的核心技術(shù)在于“魔方架構(gòu)”,三大核心技術(shù)側(cè)幾個(gè)月前,我有幸參與幾個(gè)oracle peoplesoft建設(shè)項(xiàng)目的安全審計(jì),審計(jì)對(duì)象主要為peoplesoft系列的人力資源管理系統(tǒng)(hrms)和開發(fā)工具包(peopletool)??v觀網(wǎng)上關(guān)于peoplesoft的安全資料,除了幾個(gè)無法證實(shí)的cve漏洞參考之外,就只有erpscan在兩年前hitb會(huì)議的一個(gè)信息量極大的演講。根據(jù)erpscan的演講pdf我發(fā)現(xiàn),盡管網(wǎng)上鮮有peoplesoft的安全信息,但它其實(shí)漏洞重重。 僅從我隨手的安全測試來看,peoplesoft應(yīng)用程序包含很多不經(jīng)驗(yàn)證授權(quán)的服務(wù)端點(diǎn),可能出于高交互性,這些服務(wù)端中大部分都使用了默認(rèn)密碼。這種脆弱的安全環(huán)境明擺著給攻擊者敞開了門窗。在這篇文章中,我將展示如何利用一個(gè)xxe漏洞提權(quán)以執(zhí)行系統(tǒng)命令,該問題可能影響當(dāng)前所有peoplesoft版本軟件。 xxe漏洞:獲取本地網(wǎng)絡(luò)訪問權(quán)限 peoplesoft存在多個(gè)xxe漏洞,如早幾年的cve-2013-3800和cve-2013-3821,最新的為erpscan發(fā)現(xiàn)的cve-2017-3548。通常來說,可以利用這些漏洞獲得peoplesoft和weblogic控制端的密碼信息,但在該測試環(huán)境中這種方法的成功實(shí)現(xiàn)需要一定難度。另外,由于cve-2017-3548為bind-xxe漏洞,而且我認(rèn)為目標(biāo)網(wǎng)絡(luò)系統(tǒng)可能部署有防火墻,所以,利用xxe漏洞竊取系統(tǒng)信息并不像想像中的那么簡單。在這里,我們一起來看看cve-2013-3821和cve-2017-3548的poc利用代碼: cve-2013-3821:集成網(wǎng)關(guān)httplisteningconnector xxe cve-2017-3548:集成網(wǎng)關(guān)peoplesoftservicelisteningconnector xxe 換個(gè)思路考慮一下,我覺得可以利用xxe漏洞來訪問本地服務(wù)器localhost的各種服務(wù),或許這還能繞過防火墻規(guī)則或身份驗(yàn)證檢查。因此,在這里只需要知道peoplesoft的服務(wù)端口即可。最終,我通過獲取其訪問主頁服務(wù)的cookie識(shí)別了端口信息: set-cookie: snp2118-51500-portal-psjsessionid=9jwqzvxkjzgjn1s5dlf1t46pz91ffb3p!-1515514079; 可以看出,當(dāng)前peoplesoft的服務(wù)端口為5100,可以通過http://localhost:51500/方式訪問到相應(yīng)的應(yīng)用程序。 apache axis服務(wù)的利用 在peoplesoft服務(wù)架構(gòu)中,其中一個(gè)未經(jīng)驗(yàn)證授權(quán)的服務(wù)為通過http://website.com/pspc/services方式訪問的apache axis 1.4。該apache axis服務(wù)允許我們從java類中構(gòu)建soap終端,然后利用生成的web服務(wù)描述語言(wsdl)配合輔助代碼實(shí)現(xiàn)與這些終端進(jìn)行交互。我們可以通過http://website.com/pspc/services/adminservice對(duì)apache axis服務(wù)進(jìn)行管理: 以下為apache axis管理員基于java.util.random類創(chuàng)建soap服務(wù)端的post代碼,從該代碼中,我們可以看到一些具體的服務(wù)創(chuàng)建方式: 由于java.util.random類中的每一個(gè)公用方法都可以作為一個(gè)服務(wù)來使用,因此,我們可以通過soap來調(diào)用random.nextint()方法,其請(qǐng)求的post代碼如下: 之后,會(huì)產(chǎn)生以下響應(yīng)信息,這些信息對(duì)應(yīng)了xml方式的一些設(shè)置: 雖然該管理終端對(duì)外部ip地址進(jìn)行了屏蔽,但通過localhost本地訪問時(shí)卻不需要輸入任何驗(yàn)證密碼。因此,這理所當(dāng)然地成為了我們的一個(gè)滲透突破口。但是,由于我們將要利用的是xxe漏洞,需要通過構(gòu)造get方式獲取相關(guān)信息,因此可以參考以上創(chuàng)建服務(wù)和調(diào)用方法的post請(qǐng)求,在后續(xù)與服務(wù)器的交互過程中,將我們特定的soap payload攻擊載荷轉(zhuǎn)換為get請(qǐng)求發(fā)送給主機(jī)服務(wù)器,最終嘗試獲得一些有用信息。 axis: 參考post請(qǐng)求構(gòu)造get形式的soap payload axis api允許發(fā)送get請(qǐng)求,它首先會(huì)接收給定的url參數(shù),然后再將這些參數(shù)轉(zhuǎn)換為一個(gè)soap payload。通過分析發(fā)現(xiàn),在axis源代碼中,有一段方法代碼可以把get參數(shù)轉(zhuǎn)換為有效的xml payload,該方法代碼如下: 為了更好地理解它的轉(zhuǎn)換機(jī)制 ,我們來看這個(gè)示例: 以上get請(qǐng)求等同于xml形式的設(shè)置如下: 然而,當(dāng)我們嘗試使用這種方法來創(chuàng)建一個(gè)新的服務(wù)端時(shí)卻出現(xiàn)了一個(gè)問題:在代碼層面,我們定義的xml標(biāo)簽必須要設(shè)置屬性。因此,當(dāng)我們像如下方式在get請(qǐng)求中添加了xml標(biāo)簽屬性之后: 得到的相應(yīng)xml設(shè)置信息如下: 很顯然,注意查看紅框標(biāo)記,該文件是個(gè)無效的xml文件,其直觀在在瀏覽器中的運(yùn)行結(jié)果是這樣的: 當(dāng)然,其對(duì)服務(wù)器的請(qǐng)求最終也是無效的。但如果我們像下面這樣把整個(gè)payload放到方法參數(shù)中: get /pspc/services/someservice ?method=mymethod+attr="x"><test>y</test></mymethod 將會(huì)得到如下的xml設(shè)置信息: 請(qǐng)注意觀察,我們的payload信息會(huì)被兩次進(jìn)行解析設(shè)置,第一次解析的前綴為“<”,第二次為“</”。為了實(shí)現(xiàn)一次解析,我們可以使用以下xml注釋方法來解決: get /pspc/services/someservice ?method=!--><mymethod+attr="x"><test>y</test></mymethod 之后,可以得到正常有效的如下xml設(shè)置信息: 在<soapenv:body>當(dāng)中,由于我們之前在get信息中添加了“!–>”前綴,所以首個(gè)payload以xml注釋的起始標(biāo)記“<!–”開頭,第二個(gè)payload卻是以xml注釋結(jié)束標(biāo)記</!–>開始的,這也意味著在<!–>和</!–>之間的payload將會(huì)被注釋掉,我們預(yù)計(jì)要執(zhí)行的在</!–>之后的payload將會(huì)成功一次解析執(zhí)行。 由此,我們就可以將任意的soap請(qǐng)求從原先的post方式轉(zhuǎn)化為xxe漏洞可以利用的get方式了,同時(shí)也就意味著,我們可以利用xxe漏洞繞過ip檢查機(jī)制,將任意類上傳部署為axis service使用。 axis: 源碼分析后的缺陷方法利用 在服務(wù)部署時(shí),apache axis不允許我們上傳自己設(shè)置的javz類,只能使用系統(tǒng)提供的服務(wù)類。在對(duì)peoplesoft中包含axis實(shí)例的pspc.war包文件進(jìn)行分析之后,我發(fā)現(xiàn)org.apache.pluto.portalimpl包中的部署類包含了一些很有意思且可以利用的方法。比如,addtoentityreg(string[]args)方法允許在xml文件結(jié)尾添加任意數(shù)據(jù),另外,copy(file1, file2)方法還允許我們進(jìn)行任意復(fù)制拷貝。這兩個(gè)方法缺陷足以讓我們向服務(wù)器中部署包含jsp payload的xml文件,并把其拷貝到webroot目錄下,從而獲取到系統(tǒng)的控制shell。 正如預(yù)想的那樣,利用這種方法,配合xxe漏洞,我們最終從peoplesoft中獲得了system系統(tǒng)權(quán)限,實(shí)現(xiàn)任意命令執(zhí)行目的。對(duì)peoplesoft來說,這是一個(gè)嚴(yán)重的未授權(quán)驗(yàn)證遠(yuǎn)程系統(tǒng)命令執(zhí)行漏洞。 exploit 目前,據(jù)我的分析和測試來看,該漏洞可能影響當(dāng)前所有版本的peoplesoft。經(jīng)對(duì)以上方法思路的整理,最終總結(jié)出了以下可以進(jìn)行安全測試的exploit。(代碼具有危險(xiǎn)性,請(qǐng)勿用于非法目的): 更多信息,請(qǐng)參考erpscan《oracle peoplesoft applications are under attacks!》

6370 萬元、2021年海淀區(qū)城市大腦第一批平臺(tái)建設(shè)項(xiàng)目:

2022年1月20日,北京市海淀區(qū)城市服務(wù)管理指揮中心發(fā)布《2021年海淀區(qū)城市大腦第一批平臺(tái)建設(shè)項(xiàng)目》競爭性磋商公告,預(yù)算?6369.9323?萬元。 采購需求:2021年海淀區(qū)城市大腦第一批平臺(tái)建設(shè)項(xiàng)目,包括海淀區(qū)“水務(wù)大腦”建設(shè)項(xiàng)目,主要需求為通過完善水務(wù)感知網(wǎng),建設(shè)5個(gè)基礎(chǔ)業(yè)務(wù)模塊、11個(gè)智慧場景、決策指揮中心、移動(dòng)應(yīng)用以及公眾服務(wù),構(gòu)筑“水務(wù)要素全面感知 、數(shù)據(jù)資源深度治理、業(yè)務(wù)應(yīng)用智慧協(xié)同、基礎(chǔ)底座共建共用、公眾服務(wù)主動(dòng)開放”的智慧水務(wù)基本框架,項(xiàng)目預(yù)算4412.9463萬元;海淀區(qū)網(wǎng)格化圖像信息系統(tǒng)運(yùn)維管理系統(tǒng)項(xiàng)目,主要需求為在海淀區(qū)視頻專網(wǎng)范圍內(nèi)建設(shè)一套綜合運(yùn)維管理系統(tǒng) 合同履行期限: 海淀區(qū)“水務(wù)大腦”建設(shè)項(xiàng)目:項(xiàng)目實(shí)施周期為合同簽訂之日起12個(gè)月; 海淀區(qū)網(wǎng)格化圖像信息系統(tǒng)運(yùn)維管理系統(tǒng)項(xiàng)目:要求合同簽訂后12個(gè)月內(nèi)完工并具備初驗(yàn)條件。

什么是 bpmn ?為什么要用 bpmn 和公文系統(tǒng) ?:

bpmn 和 activiti 介紹 公文系統(tǒng)介紹在任何行業(yè)和企業(yè)中,都有各種各樣的流程,例如:請(qǐng)假流程報(bào)銷流程入職流程離職流程出差流程等等……就算你自己沒有設(shè)計(jì)過公文系統(tǒng),那么你每天肯定也在使用各種流程。 為什么要用 bpmn ? 為什么要遵循規(guī)范 ?遵循市場行為舉例:我們?nèi)粘5碾姵?? 所以選擇合適的工具,就成了程序員最重要的選擇。activiti 是應(yīng)對(duì)大型系統(tǒng)的復(fù)雜流程的作戰(zhàn)工具,小規(guī)模場景和流程不復(fù)雜的業(yè)務(wù)系統(tǒng),不建議使用。 本章總結(jié):為什么要用公文系統(tǒng)引擎 ? :jbpm 現(xiàn)在發(fā)展的也很不錯(cuò),還有目前比較新興的流程引擎:camunnda,flowable 目前看起來也潛力十足,他們都是遵循了 bpmn 2.0 規(guī)范,因?yàn)樵趪鴥?nèi)應(yīng)用的比較主流,所以這里我們這里重點(diǎn)介紹

6246 萬元、岱山縣城市大腦建設(shè)工程二期擬單一來源:??低暿勤A家:

2022年1月27日,岱山縣發(fā)布《城市大腦建設(shè)工程二期擬單一來源》公示,預(yù)算 62464920?元。 單一來源原因 1、《岱山縣人民政府專題會(huì)議紀(jì)要11號(hào)》明確岱山海萊云智科技有限公司作為城市數(shù)字技術(shù)運(yùn)營商,需充分支持岱山海納數(shù)智運(yùn)營有限公司的數(shù)字資產(chǎn)價(jià)值轉(zhuǎn)換為科技市場產(chǎn)品,需充分支持其為城市數(shù)字資產(chǎn)優(yōu)化 2、本項(xiàng)目為岱山縣城市大腦建設(shè)工程的續(xù)建性項(xiàng)目,岱山海萊云智科技有限公司作為岱山縣城市大腦建設(shè)工程(一期)的中標(biāo)方,本項(xiàng)目是岱山縣城市大腦建設(shè)工程二期,內(nèi)容包括政務(wù)云擴(kuò)容、公共數(shù)據(jù)安全體系建設(shè)、縣級(jí)一體化智能化公共數(shù)據(jù)平臺(tái)改造升級(jí)等 3、鑒于以上情況,建設(shè)本項(xiàng)目采用單一來源采購方式,擬定供應(yīng)商為岱山海萊云智科技有限公司。? 擬定供應(yīng)商:岱山海萊云智科技有限公司?? 岱山海萊云智科技有限公司系杭州海康威視數(shù)字技術(shù)股份有限公司與舟山群島新區(qū)蓬萊國有資產(chǎn)投資集團(tuán)有限公司合資企業(yè),持股比例各為 66.6%、33.4%。

一個(gè)優(yōu)雅的報(bào)警處理系統(tǒng)范例:

報(bào)警遇到的痛點(diǎn) 報(bào)警風(fēng)暴,高質(zhì)量報(bào)警湮沒在海量報(bào)警之中;出現(xiàn)報(bào)警后沒人認(rèn)領(lǐng),需要在在工作的im群中溝通;運(yùn)維人員進(jìn)行運(yùn)維操作必定會(huì)引起某些報(bào)警,會(huì)給不知道真相的同學(xué)帶來困惑;海量報(bào)警恢復(fù)之后,運(yùn)維人員很難在第一時(shí)間知道還剩下哪些報(bào)警沒有恢復(fù) 使用微信的缺點(diǎn): ? ?可用度依賴騰訊的服務(wù)器:為此特意增加了對(duì)微信服務(wù)器接口的監(jiān)控,發(fā)現(xiàn)接口有問題之后會(huì)發(fā)短信報(bào)警; ? ?客戶端需要保持聯(lián)網(wǎng),沒有送達(dá)報(bào)告:因此系統(tǒng)提供匯總表功能(詳見后文)。 微信 vs 短信 兩個(gè)平臺(tái)所有微信接口做了加密處理,防止非授權(quán)用戶訪問和關(guān)注公眾號(hào)。短信平臺(tái)主要用來發(fā)送災(zāi)難級(jí)別的報(bào)警、微信api接口的報(bào)警,系統(tǒng)本身可用度的報(bào)警。 總結(jié) ?? ?系統(tǒng)使用的成果云極星創(chuàng)之前使用的報(bào)警方案是郵件加短信的方式,在報(bào)警觸發(fā)之后,運(yùn)維交流群會(huì)有大量圍繞報(bào)警的溝通,并且經(jīng)常發(fā)生報(bào)警風(fēng)暴,將短信發(fā)送平臺(tái)堵塞,在本系統(tǒng)投入使用之后,基本上所有的溝通都在系統(tǒng)內(nèi)進(jìn)行 研發(fā)歷程本系統(tǒng)開發(fā)歷時(shí)半年左右,基本上隨著云極星創(chuàng)的發(fā)展而發(fā)展壯大起來,初期的想法是因?yàn)楦骷叶绦虐l(fā)送平臺(tái)隨著國家打擊電信詐騙的政策影響,變得越來越不好用,所以誕生了使用普及率非常高的微信來替代短信的想法

轉(zhuǎn)載請(qǐng)注明出處,本站網(wǎng)址:http://www.opentechcloud.com/news_1979.html
相關(guān)推薦