泛微 OA e-cology9 存在 sql 注入

已于 2023-04-30 00:03:34 修改
阅读量1.3k 收藏 1
点赞数
分类专栏: 漏洞复现 文章标签: sql 数据库
于 2023-04-29 23:30:58 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/nnn2188185/article/details/130444992
版权

文章目录

泛微 OA e-cology9 存在 sql 注入

免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。

1. MinIO 简介

微信公众号搜索:南风漏洞复现文库
该文章 南风漏洞复现文库 公众号首发

泛微 E-Cology9 协同办公系统是一套基于 JSP 及 SQL Server 数据库的 OA 系统,包括知识文档管理、人力资源管

了解本专栏 订阅专栏 解锁全文 超级会员免费看
sublime88
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
e-cology9 SQL注入漏洞复现(QVD-2023-5012)
0xSec
03-20 1万+
e-cology9中存在SQL注入漏洞,未经身份认证的远程攻击者即可利用此漏洞获取数据库敏感信息,进一步利用可能导致目标系统被控。
E-Cology getLabelByModule SQL注入(含批量验证poc)
最新发布
weixin_43567873的博客
04-18 42
E-Cology getLabelByModule SQL注入(含批量验证poc)
OA8前台sql注入1
08-08
cmd=getSelectAllId&sql=***注入点 在getdata.jsp中,直接将request对象交给weaver.hrm.common.Ajax
e-cology9 SQL注入(CNVD-2023-12632)
qq_61968245的博客
07-19 515
e-cology9 SQL注入(CNVD-2023-12632)
OA-SQL注入漏洞
maverickpig的博客
01-23 8494
OA sql注入汇总
e-cology9 <0.56 存在sql注入漏洞
murphysec的博客
03-01 1056
e-cology9 是一个 OA 系统。 e-cology9 10.56 之前版本存在 sql 注入漏洞,攻击者可利用该漏洞读取或修改数据库中的敏感信息,进而操控管理系统。
OA 最新前台未授权sql注入
swordheart的博客
07-24 964
e-cology是一款由网络科技开发的协同管理平台,支持人力资源、财务、行政等多功能管理和移动办公。e-cology FileDownloadForOutDoc 未对用户的输入进行有效的过滤,直接将其拼接进了SQL查询语句中,导致系统出现SQL注入漏洞。
OA e-cology8最新h5补丁
06-01
OA e-cology8 最新h5补丁(ecology之flash)html5补丁
OA 9.0 e-cology9.0 数据字典
07-06
版本升级.zip 表单建模.zip 财务管理.zip 车辆管理.zip 短信模块.zip 工作流程.zip 工作博.zip 公文管理.zip 会议管理.zip 即时通讯-EMESSAGE.zip 集成模块.zip 客户管理.zip 门户管理.zip ...workflow
OA E-cology字段联动.rar
09-09
OA E-cology字段联动SQL语句,很实用。字段之间的联动,减少人为选择出错机率。
E-cology9.0(EC9)官方后台全套操作手册
09-29
E-cology9.0(EC9)官方后台全套操作手册,包含20几个文档,WORD格式。注意这是操作手册,不是二次开发手册。适合系统操作人员阅读。
OA e-cology 8 最新webservice接口文档
12-11
OA e-cology 8 最新webservice接口文档 包含获取OA流程、新建流程等接口
OA E-cology 数据字典CHM格式
10-20
详细的OA数据字典,CHM格式,方便查看与搜索!第一次上传资料,如果有不足的地方请留言!凑够50个字符真的好难
CNVD-2023-12632 e-cology9 sql注入 附poc
三天不打上房揭瓦的博客
03-18 4704
由于e-cology9中对用户前台输入的数据未做校验,可以通过构造恶意的数据包导致SQL注入漏洞,进一步获取敏感数据。
OA V8 SQL注入漏洞和文件上传漏洞
热门推荐
qq_52469895的博客
04-11 1万+
fofa语句 app="-协同办公OA" SQL注入OA V8中的getdata.jsp文件里,通过gatData方法将数据获取并回显在页面上,而在getData方法中,判断请求里cmd参数是否为空,如果不为空,调用proc方法。其中它存在四个参数,分别为空字符串、cmd参数值、request对象以及serverContext对象,通过对cmd参数值进行判断,当cmd值等于getSelectAllId时,再从请求中获取sql和type两个参数值,并将参数传递进getSelectAllIds
【1day】复现OA某版本SQL注入漏洞
记录并分享学习安全的知识点..
08-21 553
e-cology是一款由网络科技开发的协同管理平台,支持人力资源、财务、行政等多功能管理和移动办公。OA存在SQL注入漏洞,攻击者利用Web应用程序对用户输入验证上的疏忽,在输入的数据中包含对某些数据库系统有特殊意义的符号或命令,让攻击者有机会直接对后台数据库系统下达指令,进而实现对后台数据库乃至整个应用系统的入侵。
e-cology9 SQL注入漏洞复现【QVD-2023-5012】
holyxp的博客
07-22 684
协同管理应用平台e-cology是一套兼具企业信息门户、知识文档管理、工作流程管理、人力资源管理、客户关系管理、项目管理、财务管理、资产管理、供应链管理、数据中心功能的企业大型协同管理平台。​ e-cology9中存在SQL注入漏洞,未经身份认证的远程攻击者即可利用此漏洞获取数据库敏感信息,进一步利用可能导致目标系统被控。
oa e-cology v9 browser.jsp sql注入漏洞
09-15
OA E-Cology V9是一款常用的企业办公自动化系统,该系统的browser.jsp页面存在SQL注入漏洞。SQL注入是一种常见的网络攻击技术,攻击者可以通过构造恶意的SQL语句来绕过系统的认证和授权机制,进而获取敏感数据或者对系统进行非法操作。 OA E-Cology V9中的browser.jsp页面是用于显示OA系统中的个人文件夹和公共文件夹。攻击者可以在该页面中输入恶意的SQL语句,通过执行这些恶意SQL语句,攻击者可以获取到不应该被访问的数据,比如其他用户的文件,甚至可以对数据库进行修改和损坏。 为了防止SQL注入漏洞的利用,可以采取以下措施: 1. 输入过滤和验证:在服务器端对用户输入的数据进行过滤和验证,去除或转义可能包含恶意SQL代码的字符,确保只接受合法的输入。 2. 使用参数化查询:尽量使用参数化查询代替拼接SQL语句的方式,参数化查询可以预编译SQL语句,避免在拼接时引入恶意代码。 3. 限制数据库用户的权限:对数据库用户进行权限控制,确保每个用户只拥有最小必要的权限,减少攻击者利用SQL注入漏洞进行非法操作的机会。 4. 及时更新和修补漏洞:及时跟进厂商的安全通告并安装最新的补丁程序,确保系统始终处于最新的安全状态。 综上所述,OA E-Cology V9中的browser.jsp页面存在SQL注入漏洞,但通过合理的安全措施和注意事项,我们可以有效地减少该漏洞被利用的风险。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

sublime88

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值