Appweb介绍

Appweb是最快的嵌入式Web服务器，用于安全地托管物联网的嵌入式Web管理应用程序。凭借HTTP/2支持，它速度极快，具有广泛的安全控制，沙盒和防御性对策。

以上介绍来自官网，个人总结下它是一个web框架，我们在日常中的一些路由器交换机活着互联网设备上可能会发现。

复现

前提

需要一个可用的用户名，这里为joshua。

测试目标地址为：192.168.123.123:8080

步骤

1.挂代理，使用burpsuite监听。

2.在浏览器打开测试目标地址,并输入用户名。

3.拦截后改包。

4.复现成功

结语

在Appweb 7.0.3之前的版本中，对于digest和form两种认证方式。

如果用户传入的密码为null（也就是没有传递密码参数），appweb将因为一个逻辑错误导致直接认证成功，并返回session。