政府電腦系統(tǒng)國產(chǎn)化替代：甘孜政府公文系統(tǒng)中oracle人力資源管理系統(tǒng)peoplesoft未授權遠程代碼執(zhí)行漏洞解析成為企業(yè)高度認知的管理軟件。政務OA系統(tǒng)市場在近10年內(nèi)高速發(fā)展，不同企業(yè)在選擇OA辦公系統(tǒng)過程中考慮重點不同，政務OA系統(tǒng)的安全信息，但它其實漏洞重重。 僅從我隨手的安全測試來看，peoplesoft應用程序包含很多不經(jīng)驗證授權的服務端點，可能出于高交互性，這些服務端中大部分都使用了默認密碼。這種脆弱的安全環(huán)境明擺著給攻擊者敞開了門窗。在這篇文章中，我將展示如何利用一個xxe漏洞提權以執(zhí)行系統(tǒng)命令，該問題可能影響當前所有peoplesoft版本軟件。 xxe漏洞：獲取本地網(wǎng)絡訪問權限 peoplesoft存在多個xxe漏洞，如早幾年的cve-2013-38


剛剛，華為被爆正遭美國司法部調(diào)查！:

若真的被美方認定違反了伊朗禁運政策，華為或?qū)⒂肋h失去美國市場，甚至如中興一樣，被斷所有美國“貨源”，包括硬件和軟件。據(jù)華爾街日報報道，美國司法部正在調(diào)查華為公司是否違反向伊朗禁運的有關制裁！ 這是繼中興事件后，美國政府針對國內(nèi)科技公司的又一大動作。華為“原罪”為何？ 眾所周知，美國商務部將禁止美國企業(yè)向中興通訊銷售元器件的原因是，美方認為“中興合謀在未獲得美國政府許可的情況下向伊朗出口美國產(chǎn)品，妨礙司法以及制造重大不實陳述”，此次調(diào)查華為，美方用了同樣的理由：懷疑華為違反了美國的伊朗禁運政策 但由于美伊關系走向正常化，美國要求伊朗提供在禁運制裁期，中國違反禁運制裁的企業(yè)名單。而伊朗在提交的名單中，提及了華為和中興。 2003年1月，全球領先的網(wǎng)絡解決方案供應商思科在美國得克薩斯州東區(qū)聯(lián)邦法庭對華為提起控訴，稱華為在多款路由器和交換機中盜用了其源代碼，不僅產(chǎn)品與思科雷同，還侵犯了他們至少5項專利。

ecm是什么-企業(yè)內(nèi)容管理:

【界定】 　　企業(yè)內(nèi)容管理系統(tǒng)軟件（ecm系統(tǒng)軟件）與erp、oa、信創(chuàng)政務OA、hrms一樣歸屬于一種手機軟件種類。 這在一定水平上反映出企業(yè)內(nèi)容管理技術性的演化過程：從以集中型后面管理方法為主導的手機軟件方式、變化為分布式系統(tǒng)、服務項目導向性的服務平臺方式。 、聯(lián)邦政府構(gòu)架、混和云計算平臺。 ecm最開始朝向企業(yè)對職工（b2e）系統(tǒng)軟件，如今為企業(yè)對企業(yè)（b2b），企業(yè)對政府部門（b2g），政府部門對企業(yè)（g2b）和別的市場細分給予解決方案。 　　 　　saas模式（saas） 　　當?shù)匕惭b的saas和第三方軟件解決方案的結(jié)合體 　　ecm的關鍵優(yōu)點包含： 　　更高效率，更具有成本效益的文本文檔管理和操縱，以促進企業(yè)選用 　　保證符合實際政府部門和領域政策法規(guī)

泛微 e-cology oa 前臺sql注入漏洞復現(xiàn):

費控管理等功能，適用于手機和pc端，是當今比較主流的政務OA系統(tǒng)之一。 0x01 原理概述----該漏洞是由于政務OA系統(tǒng)的workflowcentertreedata接口在收到用戶輸入的時候未進行安全過濾，oracle數(shù)據(jù)庫傳入惡意sql語句，導致sql漏洞。 0x02 影響范圍----使用oracle數(shù)據(jù)庫的泛微 e-cology oa 系統(tǒng) 0x03 環(huán)境搭建----在線環(huán)境（限今晚）：打賞(任意金額)+轉(zhuǎn)發(fā)，聯(lián)系作者獲取fofa搜索：app泛微-協(xié)同辦公 oa 自行搭建： 公眾號內(nèi)回復“泛微環(huán)境”0x04 漏洞利用----找到oracle數(shù)據(jù)庫的泛微政務OA系統(tǒng)后直接使用poc（已公開）如果不存在漏洞，則顯示結(jié)果如下? 參考鏈接：https:mp.weixin.qq.comsgbr_imrbcvgtzfennah-lg

把“ai威脅論”觀念植入馬斯克大腦的那個人，現(xiàn)在“反水”了:

“想象一下，你有機會告訴全美國最有權勢的50位政客，自己認為需要政府立即行動的、最急迫的問題是什么。過去的這個周末馬斯克就有這樣的機會。結(jié)果他選擇提醒這些州長對人工智能保持警惕，以免其消滅人類?！?yann lecun后來也轉(zhuǎn)推了這篇文章。沒完。轉(zhuǎn)天，《發(fā)現(xiàn)》雜志干脆直接了聯(lián)系了幾位計算機科學和未來學領域的大牛，正面對馬斯克的觀點進行回應。 對于工作和武器系統(tǒng)這些東西的影響。 “不過伊隆在一件事上說對了：我們需要政府現(xiàn)在就開始對ai進行管控。 無論是支持還是反對，對這些言論，他沒有做出任何回應——在最近的推特上，他宣布自己剛剛拿到了政府對于在地下建造連接紐約、費城、巴爾的摩與華盛頓的超級高鐵hyperloop的口頭許可。

政府電腦系統(tǒng)國產(chǎn)化替代：甘孜政府公文系統(tǒng)中oracle人力資源管理系統(tǒng)peoplesoft未授權遠程代碼執(zhí)行漏洞解析

的政務OA廠商是首選。 　　OA產(chǎn)品同質(zhì)化現(xiàn)象嚴重，oa技術已逐漸走向成熟，能夠提供更優(yōu)質(zhì)的服務才令政務OA廠商具備更高的競爭力。那么在政務OA系統(tǒng)服務上，應該從哪些方面去考量政務OA廠商的實力呢？ 　　其一，售前講解與試用 　　政務OA廠商面對用戶的第一階段應該是剛剛接觸用戶，用戶或許通過自身渠道或內(nèi)部cio的建議對市面上的OA產(chǎn)品有過一定了解，此時政務OA廠商在提供試用渠道的基礎上，針對用戶提出的多樣化需求予以解答，不斷調(diào)整OA產(chǎn)品功能適應用戶需求，是否有功能定制和開發(fā)需要。由于OA產(chǎn)品缺少行業(yè)標準化產(chǎn)品，各家功能側(cè)重點不同，應該從用戶自身出發(fā)調(diào)整產(chǎn)品功能；針對缺乏對OA產(chǎn)品了解的用戶，應該從基本功能對OA產(chǎn)品進行概述，為用戶提供多種解決方案。 　　政務OA系統(tǒng)的核心技術在于“魔方架構(gòu)”，三大核心技術側(cè)幾個月前，我有幸參與幾個oracle peoplesoft建設項目的安全審計，審計對象主要為peoplesoft系列的人力資源管理系統(tǒng)（hrms）和開發(fā)工具包（peopletool）。縱觀網(wǎng)上關于peoplesoft的安全資料，除了幾個無法證實的cve漏洞參考之外，就只有erpscan在兩年前hitb會議的一個信息量極大的演講。根據(jù)erpscan的演講pdf我發(fā)現(xiàn)，盡管網(wǎng)上鮮有peoplesoft的安全信息，但它其實漏洞重重。 僅從我隨手的安全測試來看，peoplesoft應用程序包含很多不經(jīng)驗證授權的服務端點，可能出于高交互性，這些服務端中大部分都使用了默認密碼。這種脆弱的安全環(huán)境明擺著給攻擊者敞開了門窗。在這篇文章中，我將展示如何利用一個xxe漏洞提權以執(zhí)行系統(tǒng)命令，該問題可能影響當前所有peoplesoft版本軟件。 xxe漏洞：獲取本地網(wǎng)絡訪問權限 peoplesoft存在多個xxe漏洞，如早幾年的cve-2013-3800和cve-2013-3821，最新的為erpscan發(fā)現(xiàn)的cve-2017-3548。通常來說，可以利用這些漏洞獲得peoplesoft和weblogic控制端的密碼信息，但在該測試環(huán)境中這種方法的成功實現(xiàn)需要一定難度。另外，由于cve-2017-3548為bind-xxe漏洞，而且我認為目標網(wǎng)絡系統(tǒng)可能部署有防火墻，所以，利用xxe漏洞竊取系統(tǒng)信息并不像想像中的那么簡單。在這里，我們一起來看看cve-2013-3821和cve-2017-3548的poc利用代碼： cve-2013-3821：集成網(wǎng)關httplisteningconnector xxe cve-2017-3548：集成網(wǎng)關peoplesoftservicelisteningconnector xxe 換個思路考慮一下，我覺得可以利用xxe漏洞來訪問本地服務器localhost的各種服務，或許這還能繞過防火墻規(guī)則或身份驗證檢查。因此，在這里只需要知道peoplesoft的服務端口即可。最終，我通過獲取其訪問主頁服務的cookie識別了端口信息： set-cookie: snp2118-51500-portal-psjsessionid=9jwqzvxkjzgjn1s5dlf1t46pz91ffb3p!-1515514079; 可以看出，當前peoplesoft的服務端口為5100，可以通過http://localhost:51500/方式訪問到相應的應用程序。 apache axis服務的利用 在peoplesoft服務架構(gòu)中，其中一個未經(jīng)驗證授權的服務為通過http://website.com/pspc/services方式訪問的apache axis 1.4。該apache axis服務允許我們從java類中構(gòu)建soap終端，然后利用生成的web服務描述語言（wsdl）配合輔助代碼實現(xiàn)與這些終端進行交互。我們可以通過http://website.com/pspc/services/adminservice對apache axis服務進行管理： 以下為apache axis管理員基于java.util.random類創(chuàng)建soap服務端的post代碼，從該代碼中，我們可以看到一些具體的服務創(chuàng)建方式： 由于java.util.random類中的每一個公用方法都可以作為一個服務來使用，因此，我們可以通過soap來調(diào)用random.nextint()方法，其請求的post代碼如下： 之后，會產(chǎn)生以下響應信息，這些信息對應了xml方式的一些設置： 雖然該管理終端對外部ip地址進行了屏蔽，但通過localhost本地訪問時卻不需要輸入任何驗證密碼。因此，這理所當然地成為了我們的一個滲透突破口。但是，由于我們將要利用的是xxe漏洞，需要通過構(gòu)造get方式獲取相關信息，因此可以參考以上創(chuàng)建服務和調(diào)用方法的post請求，在后續(xù)與服務器的交互過程中，將我們特定的soap payload攻擊載荷轉(zhuǎn)換為get請求發(fā)送給主機服務器，最終嘗試獲得一些有用信息。 axis: 參考post請求構(gòu)造get形式的soap payload axis api允許發(fā)送get請求，它首先會接收給定的url參數(shù)，然后再將這些參數(shù)轉(zhuǎn)換為一個soap payload。通過分析發(fā)現(xiàn)，在axis源代碼中，有一段方法代碼可以把get參數(shù)轉(zhuǎn)換為有效的xml payload，該方法代碼如下： 為了更好地理解它的轉(zhuǎn)換機制 ，我們來看這個示例： 以上get請求等同于xml形式的設置如下： 然而，當我們嘗試使用這種方法來創(chuàng)建一個新的服務端時卻出現(xiàn)了一個問題：在代碼層面，我們定義的xml標簽必須要設置屬性。因此，當我們像如下方式在get請求中添加了xml標簽屬性之后： 得到的相應xml設置信息如下： 很顯然，注意查看紅框標記，該文件是個無效的xml文件，其直觀在在瀏覽器中的運行結(jié)果是這樣的： 當然，其對服務器的請求最終也是無效的。但如果我們像下面這樣把整個payload放到方法參數(shù)中： get /pspc/services/someservice ?method=mymethod+attr="x"><test>y</test></mymethod 將會得到如下的xml設置信息： 請注意觀察，我們的payload信息會被兩次進行解析設置，第一次解析的前綴為“<”，第二次為“</”。為了實現(xiàn)一次解析，我們可以使用以下xml注釋方法來解決： get /pspc/services/someservice ?method=!--><mymethod+attr="x"><test>y</test></mymethod 之后，可以得到正常有效的如下xml設置信息： 在<soapenv:body>當中，由于我們之前在get信息中添加了“!–>”前綴，所以首個payload以xml注釋的起始標記“<!–”開頭，第二個payload卻是以xml注釋結(jié)束標記</!–>開始的，這也意味著在<!–>和</!–>之間的payload將會被注釋掉，我們預計要執(zhí)行的在</!–>之后的payload將會成功一次解析執(zhí)行。 由此，我們就可以將任意的soap請求從原先的post方式轉(zhuǎn)化為xxe漏洞可以利用的get方式了，同時也就意味著，我們可以利用xxe漏洞繞過ip檢查機制，將任意類上傳部署為axis service使用。 axis: 源碼分析后的缺陷方法利用 在服務部署時，apache axis不允許我們上傳自己設置的javz類，只能使用系統(tǒng)提供的服務類。在對peoplesoft中包含axis實例的pspc.war包文件進行分析之后，我發(fā)現(xiàn)org.apache.pluto.portalimpl包中的部署類包含了一些很有意思且可以利用的方法。比如，addtoentityreg(string[]args)方法允許在xml文件結(jié)尾添加任意數(shù)據(jù)，另外，copy(file1, file2)方法還允許我們進行任意復制拷貝。這兩個方法缺陷足以讓我們向服務器中部署包含jsp payload的xml文件，并把其拷貝到webroot目錄下，從而獲取到系統(tǒng)的控制shell。 正如預想的那樣，利用這種方法，配合xxe漏洞，我們最終從peoplesoft中獲得了system系統(tǒng)權限，實現(xiàn)任意命令執(zhí)行目的。對peoplesoft來說，這是一個嚴重的未授權驗證遠程系統(tǒng)命令執(zhí)行漏洞。 exploit 目前，據(jù)我的分析和測試來看，該漏洞可能影響當前所有版本的peoplesoft。經(jīng)對以上方法思路的整理，最終總結(jié)出了以下可以進行安全測試的exploit。（代碼具有危險性，請勿用于非法目的）： 更多信息，請參考erpscan《oracle peoplesoft applications are under attacks!》

6370 萬元、2021年海淀區(qū)城市大腦第一批平臺建設項目:

2022年1月20日，北京市海淀區(qū)城市服務管理指揮中心發(fā)布《2021年海淀區(qū)城市大腦第一批平臺建設項目》競爭性磋商公告，預算?6369.9323?萬元。 采購需求：2021年海淀區(qū)城市大腦第一批平臺建設項目，包括海淀區(qū)“水務大腦”建設項目，主要需求為通過完善水務感知網(wǎng)，建設5個基礎業(yè)務模塊、11個智慧場景、決策指揮中心、移動應用以及公眾服務，構(gòu)筑“水務要素全面感知 、數(shù)據(jù)資源深度治理、業(yè)務應用智慧協(xié)同、基礎底座共建共用、公眾服務主動開放”的智慧水務基本框架，項目預算4412.9463萬元；海淀區(qū)網(wǎng)格化圖像信息系統(tǒng)運維管理系統(tǒng)項目，主要需求為在海淀區(qū)視頻專網(wǎng)范圍內(nèi)建設一套綜合運維管理系統(tǒng) 合同履行期限： 海淀區(qū)“水務大腦”建設項目：項目實施周期為合同簽訂之日起12個月； 海淀區(qū)網(wǎng)格化圖像信息系統(tǒng)運維管理系統(tǒng)項目：要求合同簽訂后12個月內(nèi)完工并具備初驗條件。

什么是 bpmn ？為什么要用 bpmn 和公文系統(tǒng) ？:

bpmn 和 activiti 介紹 公文系統(tǒng)介紹在任何行業(yè)和企業(yè)中，都有各種各樣的流程，例如：請假流程報銷流程入職流程離職流程出差流程等等……就算你自己沒有設計過公文系統(tǒng)，那么你每天肯定也在使用各種流程。 為什么要用 bpmn ？ 為什么要遵循規(guī)范 ？遵循市場行為舉例：我們?nèi)粘５碾姵?? 所以選擇合適的工具，就成了程序員最重要的選擇。activiti 是應對大型系統(tǒng)的復雜流程的作戰(zhàn)工具，小規(guī)模場景和流程不復雜的業(yè)務系統(tǒng)，不建議使用。 本章總結(jié)：為什么要用公文系統(tǒng)引擎 ？ ：jbpm 現(xiàn)在發(fā)展的也很不錯，還有目前比較新興的流程引擎：camunnda，flowable 目前看起來也潛力十足，他們都是遵循了 bpmn 2.0 規(guī)范，因為在國內(nèi)應用的比較主流，所以這里我們這里重點介紹

6246 萬元、岱山縣城市大腦建設工程二期擬單一來源：海康威視是贏家:

2022年1月27日，岱山縣發(fā)布《城市大腦建設工程二期擬單一來源》公示，預算 62464920?元。 單一來源原因 1、《岱山縣人民政府專題會議紀要11號》明確岱山海萊云智科技有限公司作為城市數(shù)字技術運營商，需充分支持岱山海納數(shù)智運營有限公司的數(shù)字資產(chǎn)價值轉(zhuǎn)換為科技市場產(chǎn)品，需充分支持其為城市數(shù)字資產(chǎn)優(yōu)化 2、本項目為岱山縣城市大腦建設工程的續(xù)建性項目，岱山海萊云智科技有限公司作為岱山縣城市大腦建設工程（一期）的中標方，本項目是岱山縣城市大腦建設工程二期，內(nèi)容包括政務云擴容、公共數(shù)據(jù)安全體系建設、縣級一體化智能化公共數(shù)據(jù)平臺改造升級等 3、鑒于以上情況，建設本項目采用單一來源采購方式，擬定供應商為岱山海萊云智科技有限公司。? 擬定供應商：岱山海萊云智科技有限公司?? 岱山海萊云智科技有限公司系杭州?？低晹?shù)字技術股份有限公司與舟山群島新區(qū)蓬萊國有資產(chǎn)投資集團有限公司合資企業(yè)，持股比例各為 66.6%、33.4%。

一個優(yōu)雅的報警處理系統(tǒng)范例:

報警遇到的痛點 報警風暴，高質(zhì)量報警湮沒在海量報警之中；出現(xiàn)報警后沒人認領，需要在在工作的im群中溝通；運維人員進行運維操作必定會引起某些報警，會給不知道真相的同學帶來困惑；海量報警恢復之后，運維人員很難在第一時間知道還剩下哪些報警沒有恢復 使用微信的缺點： ? ?可用度依賴騰訊的服務器：為此特意增加了對微信服務器接口的監(jiān)控，發(fā)現(xiàn)接口有問題之后會發(fā)短信報警； ? ?客戶端需要保持聯(lián)網(wǎng)，沒有送達報告：因此系統(tǒng)提供匯總表功能（詳見后文）。 微信 vs 短信 兩個平臺所有微信接口做了加密處理，防止非授權用戶訪問和關注公眾號。短信平臺主要用來發(fā)送災難級別的報警、微信api接口的報警，系統(tǒng)本身可用度的報警。 總結(jié) ?? ?系統(tǒng)使用的成果云極星創(chuàng)之前使用的報警方案是郵件加短信的方式，在報警觸發(fā)之后，運維交流群會有大量圍繞報警的溝通，并且經(jīng)常發(fā)生報警風暴，將短信發(fā)送平臺堵塞，在本系統(tǒng)投入使用之后，基本上所有的溝通都在系統(tǒng)內(nèi)進行 研發(fā)歷程本系統(tǒng)開發(fā)歷時半年左右，基本上隨著云極星創(chuàng)的發(fā)展而發(fā)展壯大起來，初期的想法是因為各家短信發(fā)送平臺隨著國家打擊電信詐騙的政策影響，變得越來越不好用，所以誕生了使用普及率非常高的微信來替代短信的想法

轉(zhuǎn)載請注明出處,本站網(wǎng)址：http://www.goldenleaftobacco.net/news_1979.html