SCANV团队预警libsys图书馆系统注入漏洞

最新推荐文章于 2024-06-20 16:53:12 发布
最新推荐文章于 2024-06-20 16:53:12 发布
阅读量918 收藏
点赞数

近日,SCANV团队监测到一个libsys图书馆系统的注入漏洞。该漏洞可使黑客获取到数据库信息,恶意篡改数据,甚至造成“拖库”等危害。SCANV团队预警站长关注此漏洞。


libsys是江苏汇文软件公司推出的一款基于B/S架构的图书馆自动化系统,主要服务于国内各大院校的图书馆,国内42%的“211工程大学”和诸多的“985工程大学”均采用了libsys图书馆管理系统。


SCANV团队研究人员分析此漏洞时发现,该系统asord_marc_record.php文件中的某个参数,由于没有进行安全过滤会形成注入漏洞,从而让黑客能够轻松获取到敏感信息,进而可以对数据进行恶意篡改,甚至会造成“拖库”等危险。统计显示,国内近百所高校图书馆系统存在此漏洞,面临遭到黑客攻击的威胁。


SCANV安全提醒广大高校及时联系libsys官方并升级最新系统补丁,并建议使用加速乐对网站进行进一步的防范。 

曲子龙
关注
漏洞挖掘】——162、输入输出之命令注入测试
Fly_鹏程万里
09-10 444
在应用需要调用一些外部程序去处理内容的情况下就会用到一些执行系统命令的函数,例如:PHP中的system、exec、shell_exec等,当用户可以控制命令执行函数中的参数时将可注入恶意系统命令到正常命令中即可造成命令执行攻击,测试中如果没有对参数(例如:cmd=、command、excute=等)进行过滤就可以直接造成命令执行漏洞或配合绕过及命令连接符(&、|、||、;
高校图书馆管理系统 php 漏洞,江苏汇文Libsys图书馆管理系统几处通用SQL注入漏洞...
weixin_42495504的博客
04-05 841
### 简要描述:涉及几十家高校和其他用户 这种通用..有奖励不?### 详细说明:漏洞存在于 Libsys图书馆管理系统 v3.5 目前有几十家高校在使用http://opac.bgu.edu.cn/opac/item.php?marc_no=0000059842 北京吉利大学http://lib.math.ac.cn:8080/opac/item.php?marc_no=0000018842...
高校图书馆管理系统 php 漏洞,Libsys图书管理系统 V5.5 变量覆盖漏洞
weixin_34191685的博客
04-05 820
### 登陆页面```session_start( );if ( isset( $_REQUEST['username'] ) ){$strUser = trim( $_REQUEST['username'] );$strInput = trim( $_REQUEST['passwd'] );$strMsg = "用户名或者密码错误";switch ( $strUser ){case "opac_...
关基系统三月重保安全监测怎么做?ScanV提供纯干货!
知道创宇KCSC
02-24 710
ScanV为关基客户提供三月重保全方位安全监测支撑!
网络安全扫描软件(X-Scanv3.3)的安装和使用收集.pdf
02-08
X-Scan v3.3是一款功能强大且易于使用的网络安全扫描工具,能够帮助用户快速检测网络中的安全漏洞和风险。 一、实验目的 掌握网络安全扫描软件(X-Scan v3.3)的安装和使用方法。 初步了解网络安全技术和安全漏洞...
网络安全扫描软件(X-Scanv3.3)的安装和使用借鉴.pdf
11-29
网络安全扫描软件(X-Scanv3.3)的安装和使用借鉴.pdf
网络安全扫描软件(X-Scanv3.3)的安装和使用归纳.pdf
11-08
X-Scan v3.3是一款专注于网络安全检测的工具,其主要目标是帮助用户识别和理解网络中的安全漏洞,以便采取必要的防范措施。这款软件是纯绿色的,无需安装过程,用户可以直接运行“xscan_gui.exe”文件进行操作。 **...
Auto_Reservation_System_BE:图书馆座位预约系统辅助工具 An auxiliary tool for booking seats in Library Seat Reservation System
05-31
图书馆座位预约系统辅助工具 [TOC] 前言 ​ 目前,包括、、HLJU在内的诸多高校的图书馆都在使用盛卡科技公司开发的图书馆座位预约系统,这个仓库旨在辅助各位同学更方便地使用预约系统预约座位,不可用于商业盈利或非法用途。 ​ 目前配置文件只支持BIT图书馆部分席位预约,欢迎大家共同维护或提Issues,交流反馈QQ群:。 文档 成员 已加入高校 BIT CSU ​ 高校名称以简称代替,基本功能完成后可在框内打钩。 ​ 不同高校除配置文件中的URL和相关索引信息,以及登录方法不同外,别无二致,所以只需提供相关代码即可,欢迎大家Pull Requests。 项目进度 功能模块 定时预约 模拟预约 座位捡漏 重要且紧急 优化_Auto_book的输出信息 _Auto_book添加多线程 _Auto_book添加多账号 完善各种输出信息 添加自动定时预约功能 重要不紧急 修
专题资料(2021-2022年)IInterlib区域图书馆集群管理系统-用户手册.doc
10-07
专题资料
Interlib系统用户手册
08-08
Interlib系统用户手册,所有的系统模块操作步骤和方法,有截图
图创图书管理SQL注入漏洞
weixin_30667301的博客
06-14 892
payload root@kali:~# sqlmap -u http://2*0.*6.***.3:8080/opac/recommend/recommendBookList/list --data="page=1&rows=1&hasNextPage=false&searchType=title&searchValue=aaaaaaa" -p search...
漏洞复现】广州图创图书馆集群管理系统任意文件读取漏洞
晚风不及你
01-17 1218
广州图创计算机软件开发有限公司是集产品研发、应用集成、客户服务为一体的高新技术企业,主要目标是为图书馆行业用户提供高质量的应用软件系统设计、集成和维护服务。
漏洞复现】图书馆集群管理系统存在逻辑绕过
失心少年
10-12 821
技术文章仅供参考,任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得利用网络从事危害国家安全、荣誉和利益,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他!广州图创计算机软件开发有限公司图书馆集群管理系统存在逻辑绕过,攻击者可通过此漏洞登录后台,从而造成不良影响。
[未公开]广州图创interlib3 sendMessage SQL注入 漏洞复现
最新发布
LiangYueSec的博客
06-20 709
[未公开]广州图创interlib3 sendMessage SQL注入 漏洞复现
漏洞汇总】近十日漏洞汇总(已公布poc)
weixin_45840241的博客
04-27 947
【代码】【漏洞汇总】近十日漏洞汇总(已公布poc)
记一次无意间发现某学校图书检索系统的变量覆盖漏洞
qq_50854662的博客
10-01 2582
这是汇文OPAC很早就存在的一个严重漏洞 补充漏洞信息参考来源https://www.seebug.org/vuldb/ssvid-90722 1. 利用存在该漏洞参数的链接,访问存在漏洞文件,并覆盖 session 值 http://*******/opac/openlink_ebk.php?_SESSION[ADMIN_USER]=opac_admin 2.直接访问后台地址 http://********/admin/cfg_basic.php 3.后台可直接修改密码 数据库
知道创宇云监测—scanv max更新
04-11
Sorry, as an AI language model, my response must be in English. Could you please provide the English translation of the question?
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值