浙大恩特客户资源管理系统 FollowAction SQL注入漏洞复现(含nuclei-POC)

已于 2024-02-28 10:24:22 修改
阅读量129 收藏
点赞数
分类专栏: 漏洞复现 文章标签: 安全 web安全 网络安全
于 2024-02-26 18:46:30 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_50797689/article/details/136306251
版权
漏洞复现 专栏收录该内容
33 篇文章 82 订阅 ¥9.90 ¥99.00
订阅专栏
本文介绍了浙大恩特客户资源管理系统中的FollowAction SQL注入漏洞,详细阐述了漏洞的危害,即未经认证的攻击者可能获取数据库敏感信息,并提供了漏洞复现步骤和Nuclei POC。同时,给出了修复建议,如限制接口访问IP。
摘要由CSDN通过智能技术生成
免责声明 由于传播、利用本CSDN所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为承担任何责任,一旦造成后果请自行承担!

一、产品介绍

浙大恩特客户资源管理系统是一款针对企业客户资源管理的软件产品。该系统旨在帮助企业高效地管理和利用客户资源,提升销售和市场营销的效果。

二、漏洞描述

浙大恩特客户资源管理系统 FollowAction 接口处存在SQL注入漏洞,未经身份认证的攻击者可以利用该漏洞获取系统数据库敏感信息,深入利用可获取服务器权限。

三、漏洞危害

未经过身份认证的远程攻击者可利用此漏洞执行任意SQL命令,从而获取服务器敏感信息。

四、漏洞复现

FOFA:app="浙大恩特客户资源管理系统"

POC如下

GET /entsoft/F
了解本专栏 订阅专栏 解锁全文
0xOctober
关注
专栏目录
订阅专栏
浙大恩特客户资源管理系统 Quotegask_editAction SQL注入漏洞复现
0xSec
04-04 256
浙大恩特客户资源管理系统Quotegask_editAction接口存在SQL注入漏洞,攻击者可通过输入恶意SQL代码,突破系统原本设定的访问规则,未经授权访问、修改或删除数据库中的各类敏感信息,包括但不限于员工个人资料、企业核心业务数据等。
浙大恩特客户资源管理系统任意文件上传漏洞复现
0xSec
11-10 1614
浙大恩特客户资源管理系统中fileupload.jsp、CustomerAction.entphone、MailAction.entphone、machord_doc.jsp等接口处存在文件上传漏洞,未经身份认证的攻击者可以上传任意后门文件,最终可导致服务器失陷。
浙大恩特客户资源管理系统 FollowAction SQL注入漏洞复现nuclei-POC)_浙大恩特资源管理
2401_84138986的博客
04-09 337
浙大恩特客户资源管理系统是一款针对企业客户资源管理的软件产品。该系统旨在帮助企业高效地管理和利用客户资源,提升销售和市场营销的效果。
浙大恩特客户资源管理系统 FollowAction SQL注入漏洞复现nuclei-POC)_浙大恩特资源管理(2)
2401_84138986的博客
04-09 698
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!
浙大恩特客户资源管理系统 FollowAction SQL注入漏洞复现nuclei-POC)_浙大恩特资源管理(1)
m0_61943758的博客
04-16 269
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。
漏洞复现浙大恩特客户资源管理系统 CompInfoAction存在SQL注入漏洞
https://blog.echo234.cn/
03-30 309
浙大恩特客户资源管理系统是一款专为外向型企业设计的先进管理工具。该系统以客户需求为导向,通过整合企业内外部资源,实现客户信息的全面管理和深度分析。该系统还具有强大的数据分析和挖掘功能,可以帮助企业深入挖掘客户需求,制定针对性的销售策略,提升客户满意度和忠诚度。同时,系统还支持自定义配置和扩展,可以根据企业的实际需求进行灵活调整,满足企业的个性化管理需求。总之,浙大恩特客户资源管理系统是一款高效、实用的管理工具,能够帮助企业更好地管理客户资源,提升销售业绩和客户满意度,是企业信息化建设的得力助手。浙大恩特客户
浙大恩特CRM文件上传0day
2301_80115097的博客
11-17 184
浙大恩特客户资源管理系统是一款针对企业客户资源管理的软件产品。该系统旨在帮助企业高效地管理和利用客户资源,提升销售和市场营销的效果。
浙大恩特客户资源管理系统 SQL注入漏洞复现
0xSec
11-17 847
浙大恩特客户资源管理系统中T0140_editAction.entweb接口处存在SQL注入漏洞,未经身份认证的攻击者可以利用该漏洞获取系统数据库敏感信息,深入利用可获取服务器权限。
浙大恩特客户资源管理系统 FollowAction SQL注入漏洞复现
0xSec
02-20 382
浙大恩特客户资源管理系统FollowAction接口处存在SQL注入漏洞,未经身份认证的攻击者可以利用该漏洞获取系统数据库敏感信息,深入利用可获取服务器权限。
浙大恩特客户资源管理系统 RegulatePriceAction SQL注入漏洞复现
0xSec
04-04 277
浙大恩特客户资源管理系统 RegulatePriceAction接口存在SQL注入漏洞,攻击者可通过输入恶意SQL代码,突破系统原本设定的访问规则,未经授权访问、修改或删除数据库中的各类敏感信息,包括但不限于员工个人资料、企业核心业务数据等。
时间&安全精细化管理平台存在未授权访问漏洞
2301_77012231的博客
09-14 159
登录--时间&安全精细化管理平台存在未授权访问漏洞导致与员工信息泄露。
注册安全分析报告:熊猫频道
Explinks的博客
09-10 615
熊猫频道作为央视的子频道, 采用的还是老一代的图形验证码已经落伍了, 用户体验一般,容易被破解, 一旦被国际黑客发起攻击,将会对老百姓形成骚扰,影响声誉。很多人在短信服务刚开始建设的阶段,可能不会在安全方面考虑太多,理由有很多。比如:“需求这么赶,当然是先实现功能啊”,“业务量很小啦,系统就这么点人用,不怕的” , “我们怎么会被盯上呢,不可能的”等等。有一些理由虽然有道理,但是该来的总是会来的。前期欠下来的债,总是要还的。越早还,问题就越小,损失就越低。
SSHamble:一款针对SSH技术安全的研究与分析工具
FreeBuf_的博客
09-11 963
SSHamble是一款功能强大的SSH技术安全分析与研究工具,该工具基于Go语言开发,可以帮助广大研究人员更好地分析SSH相关的安全技术与缺陷问题。
3.比 HTTP 更安全的 HTTPS(工作原理理解、非对称加密理解、证书理解)
weixin_52173250的博客
09-07 1556
HTTPS(Hypertext Transfer Protocol Secure)是一种安全的超文本传输协议,主要用于在客户端和服务器之间安全地传输数据
Java代码审计篇 | ofcms系统审计思路讲解 - 篇4 | XXE漏洞审计
最新发布
哦 卷!
09-14 396
我发现很多文章包括教程,大概套路是:只说有漏洞的点,将有漏洞的点指出,然后分析代码;或者黑盒测试出漏洞之后,然后分析代码。我认为这是在分析漏洞代码,而非代码审计。代码审计文章或教程应该是从0开始找到漏洞所在,包括思路!所以这里不管有没有漏洞,我都会把审计过程写出来,因此篇幅会很长,但我认为这样对你会很有帮助。知其然亦知所以然。XXE漏洞审计Java代码审计篇 | ofcms系统审计思路讲解 - 篇1 | 环境搭建、路由机制。
企业如何构建有效的数据泄露防护安全体系
A526847的博客
09-14 285
在当今数字化时代,企业数据已成为核心资产,其安全性直接关系到企业的竞争力、客户信任度以及法律合规性。数据泄露事件频发,不仅会导致经济损失,还可能损害企业声誉和客户关系。因此,构建有效的数据泄露防护安全体系已成为企业不可或缺的重要任务。
远程跨境传输大文件如何做到安全又稳定?
镭速的博客
09-14 217
在当今全球化的商业环境中,企业跨境传输大文件的需求日益增长。这不仅涉及到数据的快速迁移,还包括了安全性、稳定性和合规性等多重挑战。本文将探讨企业在跨境传输大文件时可能遇到的问题,以及在传输过程中应注意的事项,并重点介绍镭速在方面的优势。
使用Let’s Encrypt 配置 SSL 证书去除浏览器不安全告警
舒一笑的博客
09-14 78
执行完上述命令之后会提示你输入一下自己的邮箱信息等等然后会给你两个TXT的值类型,需要将这两个值配置在你自己的云服务DNS解析中,我这里以阿里云DNS为例。配置解析值时候需要注意自己购买的云厂商的解析规则,例如这里阿里云DNS是默认会带上你的一级域名,因此在书写配置时候就不用写了。经过我的验证这边虽然是免费的ssl认证给你白嫖三个月,但是如果你上述解析配置正确的话还是认证发证书很快的。然后后续的话需要在nginx中配置自己的一下证书信息,下面展示一下我的nginx配置。使用命令查看一下证书文件是否存在。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

0xOctober

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值