【漏洞复现】大华DSS数字监控系统getAttList SQL注入漏洞

已于 2024-03-05 09:18:44 修改
阅读量763 收藏 9
点赞数 12
文章标签: 安全 web安全 网络
于 2024-03-05 09:15:50 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37113223/article/details/136468977
版权
【漏洞复现】 专栏收录该内容
146 篇文章 1 订阅

已下架不支持订阅

本文介绍了大华DSS数字监控系统存在的SQL注入漏洞,该漏洞可能导致敏感信息泄露。通过attachment_getAttList.action?bean.RecId接口,攻击者可利用此漏洞获取数据库权限。修复建议是联系软件厂商进行处理。
摘要由CSDN通过智能技术生成

Nx01 产品简介

        大华DSS数字监控系统是一个在通用安防视频监控系统基础上设计开发的系统,除了具有普通安防视频监控系统的实时监视、云台操作、录像回放、报警处理、设备治理等功能外,更注重用户使用的便利性。

Nx02 漏洞描述

        大华DSS数字监控系统attachment_getAttList.action?bean.RecId存在SQL注入漏洞,攻击者可以通过此漏洞获取数据库权限,造成敏感信息泄露。

Nx03 产品主页

fofa-query: app="dahua-DSS"

Nx04 漏洞复现

漏洞POC请查看公众号文章详情:

【漏洞复现】大华DSS数字监控系统getAttList SQL注入漏洞

Nx05 修复建议

建议联系软件厂商进行处理。

晚风不及你ღ
关注
专栏目录

已下架不支持订阅

大华DSS数字监控系统 attachment_clearTempFile sql注入漏洞复现(含nuclei-POC)
m0_50797689的博客
03-19 833
大华DSS数字监控系统 attachment_clearTempFile sql注入漏洞复现(含nuclei-POC)
漏洞复现大华-城市安防监控系统平台管理-SQL注入-getFaceRecognition
最新发布
知黑而守白
06-19 75
DSS大华的大型监控管理应用平台,支持几乎所有涉及监控等方面的操作,支持多级跨平台联网等操作。可将视频监控、卡口拍照、 区间测速 、电子地图、违章查询系统等诸多主流应用整合在一起,实现更加智能、便捷的分级查询服务。大华DSS某接口存在SQL注入漏洞。攻击者可以通过构造恶意的SQL语句,成功注入并执行恶意数据库操作,可能导致敏感信息泄露、数据库被篡改或其他严重后果。
大华 DSS 数字监控系统attachment_clearTempFile.action存在SQL注入漏洞
weixin_43167326的博客
03-20 1224
大华DSS(Digital Surveillance System)是一款功能强大的数字监控系统,广泛应用于各类安全监控场景。它采用先进的数字视频处理技术,能够实现高清、实时的视频监控,为安全管理提供了有力支持。大华DSS系统具有高度的灵活性和可扩展性,可根据实际需求配置不同的监控设备,满足不同场合的安全监控需求。同时,系统还支持远程监控和管理,用户可通过手机、电脑等终端设备随时查看监控画面,实时掌握现场情况。
大华 DSS 数字监控系统 itcBulletin SQL 注入
weixin_43567873的博客
03-09 532
大华 DSS 数字监控系统 itcBulletin SQL 注入
大华 DSS 数字监控系统 itcBulletin SQL 注入漏洞复现
holyxp的博客
12-18 2774
大华 DSs 数字监控系统大华开发的一款安防视频监控系统,拥有实时监视、云台操作、录像回放、报警处理、设备管理等功能。大华 DSS存在SQL注入漏洞,攻击者 pota/services/itcBuletin 路由发送特殊构造的数据包,利用报错注入获取数据库敏感信息。攻击者除了可以利用 SQL注入漏词获取数据库中的信息例如,管理员后台密码、站点的用户人人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限poc验证是否存在漏洞如果你想查询用户名和密码。
漏洞复现大华DSS数字监控系统itcBulletin SQL注入漏洞
晚风不及你
03-06 1000
大华DSS数字监控系统是一个在通用安防视频监控系统基础上设计开发的系统,除了具有普通安防视频监控系统的实时监视、云台操作、录像回放、报警处理、设备治理等功能外,更注重用户使用的便利性。
漏洞复现大华 DSS 数字监控系统 itcBulletin SQL 注入
失心少年
01-11 503
攻击者除了可以利用 SQL注入漏词获取数据库中的信息例如,管理员后台密码、站点的用户人人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限## 免责声明。技术文章仅供参考,任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得利用网络从事危害国家安全、荣誉和利益,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他!
大华监控DSS存在SQL注入高危漏洞
wan___she__pi的博客
03-27 860
大华DSS大华的大型监控管理应用平台,支持几乎所有涉及监控等方面的操作,支持多级跨平台联网等操作。将视频监控、卡口拍照、 区间测速 、电子地图、违章查询系统等诸多主流应用整合,实现更加智能、便捷的分级查询服务。大华 DSS 数字监控系统 存在File.action SQL注入,黑客可以利用该漏洞执行任意SQL语句,获取敏感信息,造成危害。
大华 DSS 数字监控系统 attachment_getAttList.actionSQL注入漏洞
weixin_43167326的博客
02-08 567
大华DSS数字监控系统attachment_getAttList接口存在SQL注入漏洞,攻击者可以利用该漏洞获取数据库敏感信息。
大华平台DSS视频监控系统介绍.doc
05-13
大华平台DSS视频监控系统介绍
数字监控系统DSS2.0(安装说明)
08-06
数字监控系统DSS2.0,管理的视频、移动巡查、车辆、重点设施等城管资源数据和现有应用系统,改造和完善现有的城管案件处置流程,将现有城市综合管理的巡查发现、投诉受理、协调督办、检查考评、设施监控、指挥调度等工作纳入系统管理,构筑市、区及各职能部门共享的一体化城市综合管理监督、考核和指挥调度体系,建立日常控管与应急指挥有机结合地城市综合管理信息化处理机制。
复现大华 DSS 数字监控系统 SQL 注入漏洞_18
fushuang333的博客
01-14 1691
复现大华 DSS 数字监控系统 SQL 注入漏洞大华DSS大华的大型监控管理应用平台,支持几乎所有涉及监控等方面的操作,支持多级跨平台联网等操作。
复现大华 DSS 数字监控系统 任意文件读取漏洞_38
fushuang333的博客
02-03 1362
复现大华 DSS 数字监控系统 任意文件读取漏洞,通过提交专门设计的输入,攻击者就可以在被访问的文件系统中读取或写入任意内容。
漏洞复现大华DSS数字监控系统Struct2-045命令执行漏洞
晚风不及你
03-07 864
大华DSS数字监控系统是一个在通用安防视频监控系统基础上设计开发的系统,除了具有普通安防视频监控系统的实时监视、云台操作、录像回放、报警处理、设备治理等功能外,更注重用户使用的便利性。
漏洞复现大华DSS数字监控系统配置系统后台弱口令漏洞
晚风不及你
03-08 1388
大华DSS数字监控系统是一个在通用安防视频监控系统基础上设计开发的系统,除了具有普通安防视频监控系统的实时监视、云台操作、录像回放、报警处理、设备治理等功能外,更注重用户使用的便利性。
大华DSS城市安防监控平台Struct2-045命令执行漏洞(含批量验证poc)
weixin_43567873的博客
04-11 326
大华DSS城市安防监控平台Struct2-045命令执行漏洞(含批量验证poc)
漏洞复现大华-DSS-attachment_downloadByUrlAtt-文件读取
知黑而守白
02-01 109
DSS大华的大型监控管理应用平台,支持几乎所有涉及监控等方面的操作,支持多级跨平台联网等操作。可将视频监控、卡口拍照、 区间测速 、电子地图、违章查询系统等诸多主流应用整合在一起,实现更加智能、便捷的分级查询服务。大华DSS attachment_downloadByUrlAtt 接口存在一个任意文件读取漏洞,攻击者可以通过构造精心设计的请求,成功利用漏洞读取服务器上的任意文件,包括敏感系统文件和应用程序配置文件等。通过利用此漏洞,攻击者可能获得系统内的敏感信息,导致潜在的信息泄露风险。
大华DSS视频监控二次开发手册(OCX控件)
"大华DSS二次开发指南(OCX)是浙江大华技术股份有限...通过这份DSS二次开发指南,开发者能够深入了解如何利用大华提供的工具和接口,自定义开发视频监控应用,实现与DSS平台的深度集成,提升监控系统的功能和用户体验。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值