WooYun.org

该关键性中间件为tailor，多为大公司关键性内网系统部署Beijing Handscape Technology Co. Ltd研制
官网介绍：http://www.h3w.com.cn/index.html
Tailor介绍Tailor是什么？
Tailor是北京掌中经纬技术有限公司潜心数年研究开发的移动化中间件产品。该产品技术已向国家产权局申请了相关专利并已受理。
Tailor能干什么？
Tailor顾名思义是一个裁缝，它可以根据用户要求，对各种Web应用进行裁剪、设计、缝制形成一个新的应用，并且Tailor技术是天然移动化的。
Tailor关键技术：
1. Web应用的拆分与重装技术通过该项技术，可根据业务需要将各类Web应用在应用层完成应用拆解与重组装，并且无需原应用提供接口。
2. JavaScript执行过程的动态控制可将Web应用前台主要业务逻辑控制脚本（JavaScript）执行过程进行动态控制，包括中断、切分、再执行等。
通过此两项关键技术，不但可完成某单一简单或复杂应用移动化，并可进行多应用服务融合，甚至对整个服务流程进行切片、重组、优化。目前该两项技术均已申请相关专利
Tailor的技术体系：
Tailor等于可编程的浏览器环境+动态页面解析，其技术架构示意。
Tailor技术特点：
• 跨平台：支持IOS、Andorid、win Phone，而且一次开发同时完成三个版本多类型：支持Web App、Native App多种APP模式。
• 高效：使用Tailor开发，无需原应用二次开发，无需原应用开发商配合，支持动态调整。
• 高性能：构建服务器端浏览器环境，两端分布式处理，提升软件效率。
• 完整性：通过Tailor可以无损完成原应用移动化，保持原有系统服务的连续性、完整性。
• 服务融合：通过Tailor可以对原有多个系统进行服务切片并对象化，可优化原系统服务，或重组服务链条，形成新的服务链。
Tailor应用案例：
中国国家知识产权局门户网站移动化项目
中国移动集团MOA项目
中国气象局门户整合项目
百度销售助手项目
...
该中间件连接内外网，当代理，可导致多大公司系统shell沦陷
来看2个案例，该中间件没有dork，问题确实存在且比较严重，因为配合的是
nginx+tomcat，任意文件读取和tomcat配合简直就是灾难，shell设置war包上传即可，而且
此中间件存在代理漏传协议，可跨协议访问内网
1、中国移动集团MOA项目

2、四川移动项目

搭配了tailor中间件做代理服务的网站均存在任意文件读取
配合读取tomcat密码可通过上传war包访问shell，风控内网