【网络安全 | Java代码审计】华夏ERP(jshERP)v2.3

于 2024-10-10 20:11:02 发布
阅读量607 收藏
点赞数
分类专栏: 网络安全新手快速入门(附漏洞挖掘案例) 文章标签: web安全 代码审计 Java 漏洞挖掘
该原创文章未经本人许可,不得用于商业用途。未经授权不得转载,否则保留追究法律责任的权利。
本文链接:https://blog.csdn.net/2301_77485708/article/details/142831013
版权

未经许可,不得转载。

文章目录

项目地址:https://github.com/jishenghua/jshERP

技术框架

核心框架:SpringBoot 2.0.0

持久层框架:Mybatis 1.3.2

日志管理:Log4j 2.10.0

JS框架:Jquery 1.8.0

UI框架: EasyUI 1.9.4

模板框架: AdminLTE 2.4.0

项目管理框架: Maven 3.2.3

开发环境

IDE: IntelliJ IDEA 2017+

DB: Mysql5.7+

JDK: JDK1.8

Maven: Maven3.2.3+

代码审计

该ERP系统是基于典型的Spring框架。在进行代码审计前,可以优先查看 pom.xml 文件,以分析是否存在漏洞组件。例如,常见的组件漏洞可能包括 CommonsBeanutilsFastjson</

了解本专栏 订阅专栏 解锁全文 超级会员免费看
秋说
关注
专栏目录
订阅专栏
华夏erp2.3代码审计
weixin_45653478的博客
08-13 855
该项目使用的是Mybits的数据库,直接在*.xml文件中全局搜索 ${我们选一个比较有可能有注入的 UserMapperEx.xml 进行查 看回溯到UserMapperEx.java。继续回溯到UserService.java。继续回溯可以看到UserComponent.java中userName的值是从search中获取的。在select方法中调用了getUserList方法。最终回溯到Controller层。
Java代码审计华夏ERP3.0代码审计
橙留香Park的博客
09-22 3671
转移发布平台通知:将不再在CSDN博客发布新文章,敬请移步知识星球... ..
网络安全实战--新手入门java审计
2301_80115097的博客
12-04 126
css#.js#.jpg#.png#.gif#.ico,/user/login#/user/registerUser#/v2/api-docs资源请求不拦截。然后来到前端页面 因为返回的是json格式前端肯定是发出ajax请求来获取数据的 直接来到页面搜索api:/depotItem/getDetailList。发现在UserService里面的countUser函数调用了这个sql 然后全局找UserService调用countUser的地方。来占位,然后去预编译SQL,最后再将?
jshERP-master.zip
08-05
管理系统项目,springboot+mybatis,下载就可以跑起来。里面有所需要的各种文档,可数据设计表,可以跑着用
jshERP开源进销存软件
07-07
jshERP完整开源版J2EE代码 很多人说jshERP是目前唯一完整开源的进销存系统 虽然目前只有进销存+财务的功能,但后面将会推出ERP的全部功能,大家一起努力吧 系统部署初始账号:jsh,密码:123456,部署如有问题请联系 源码托管地址:https://git.oschina.net/jishenghua/JSH_ERP 开发初衷 jshERP立志为中小企业提供免费好用的ERP软件,降低企业的信息化成本 个人开发者也可以使用jshERP进行二次开发,承接外包ERP项目 初学JAVA的小伙伴可以下载源代码来进行学习交流 技术框架 核心框架:Spring Framework 3.0.5 视图框架:Struts 2.2.3 持久层框架:Hibernate 3.0 日志管理:Log4j 1.2.16 JS框架:Jquery 1.8.0 UI框架: EasyUI 1.3.5 桌面框架: HoorayOS 项目管理框架: Maven3.2.3 开发环境 建议开发者使用以下环境,可以避免版本带来的问题 IDE: MyEclipse8.5+/Eclipse4.4+ DB: Mysql5.1 JDK: JDK1.6+ WEB: Tomcat6.0+ Maven: Maven3.2.3+ 为方便大家搭建开发环境,分享了下载地址 http://pan.baidu.com/s/1nuKnlNV 运行环境 WEB服务器:Tomcat6.0+ 数据库服务器:Mysql5.1 JAVA平台: JRE1.6+ 操作系统:Windows、Linux等 开源说明 本系统100%开源,遵守Apache2.0协议
jshERP-master_inventory_javaerp进销存_
10-03
用于进销存管理,用于仓库管理,商品管理,商品存储等一系列
华夏ERP_v2.3.1最新版SQL与RCE的审计过程1
08-03
在本文中,我们将深入探讨华夏ERP_v2.3.1最新版中的SQL注入与远程代码执行(RCE)漏洞的审计过程。审计的目标是确保系统的安全性,防止恶意攻击者利用这些漏洞对系统进行破坏或窃取敏感信息。审计通常遵循一系列步骤...
Java代码审计工程师 视频教程 下载 百度网盘链接2.zip
06-19
JSH_ERP-v2.3.zip │ ├─30.综合项目6-vulns审计 │ vulns.zip │ ├─31.POC编写入门 │ POC.zip │ ├─32.通用型未授权漏洞 │ Behinder_v4.0.6.zip │ Hospital.zip │ shell.war...
华夏ERP资源包jshERP
07-14
打包了一个版本,仅供测试用,最新的可以去码云上下载
华夏ERP v3.3.zip
04-02
华夏ERP v3.3.zip
Java代码审计工程师 视频教程 下载 百度网盘链接4.zip
06-19
JSH_ERP-v2.3.zip │ ├─30.综合项目6-vulns审计 │ vulns.zip │ ├─31.POC编写入门 │ POC.zip │ ├─32.通用型未授权漏洞 │ Behinder_v4.0.6.zip │ Hospital.zip │ shell.war...
JSHERP-改造成不同单据获取不同的单据编号
charly
07-08 558
JSHERP实现了简单的进销存和应收应付功能,但是在使用中发现不同单据使用的流水号是一样的,现在改造成不同单据类型的流水号都从1开始,不再从同一个流水号池里取号。 改造表jsh_sequence 增加一列,用于承接不同的单据类型 alter table jsh_sequence add column seqtype varchar(20); 修改表的唯一主键 将唯一主键seq_name改成seq_name和seqtype 修改mapper <update id="updateBuildOnlyN
ERP采购管理 华夏
若云流风的专栏
08-29 1329
华夏ERP采购管理模块实操
华夏ERP-用户手册
11-13
华夏erp-用户手册 用户手册可以下下作为开发辅助,高分得来。 华夏erp-用户手册 用户手册可以下下作为开发辅助
jshERP 项目安装与使用教程
最新发布
gitblog_00784的博客
09-26 918
jshERP 项目安装与使用教程 jshERP 华夏ERP基于SpringBoot框架和SaaS模式,立志为中小企业提供开源好用的ERP软件,目前专注进销存+财务功能。主要模块有零售管理、采购管理、销售管理、仓库管理、财务管理、报表查询、系统管理等。支持预付款、收入支出、仓库调拨、组装拆卸、订单等特色功能。拥有库存状况、...
ERP基础数据 华夏
若云流风的专栏
06-12 1404
作为国产开源第一的ERP系统是如何设计基础数据的?
SpringBoot 框架华夏 ERP 源码审计1
08-03
1. requestUrl 中如果存在 / doc.html,/register.html,/login.html 字段就可 2. 传 verify() 法进判
华夏ERP使用的多租户到底是什么技术
神话的博客
12-09 930
多租户技术(英语:multi-tenancy technology)或称多重租赁技术,是一种软件架构技术,它是在探讨与实现如何于多用户的环境下共用相同的系统或程序组件,并且仍可确保各用户间数据的隔离性。 多租户简单来说是指一个单独的实例可以为多个组织服务。多租户技术为共用的数据中心内如何以单一系统架构与服务提供多数客户端相同甚至可定制化的服务,并且仍然可以保障客户的数据隔离。一个支持多租户技术的系统需要在设计上对它的数据和配置进行虚拟分区,从而使系统的每个租户或称组织都能够使用一...
【项目部署篇】-从0搭建一套ERP系统(前后端)
nandoua的博客
05-18 7607
今天一起部署一套项目,是属于java编写的前后端的项目,ERP系统。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

秋说

感谢打赏,祝你平安喜乐。

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值