东胜物流软件 多处 SQL注入漏洞复现

已于 2024-09-03 10:41:46 修改
阅读量1.1k 收藏 8
点赞数 10
分类专栏: 漏洞复现 文章标签: 安全 web安全
于 2023-11-27 23:05:52 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41904294/article/details/134656440
版权

0x01 产品简介

 东胜物流软件是一款致力于为客户提供IT支撑的 SOP, 帮助客户大幅提高工作效率,降低各个环节潜在风险的物流软件。

0x02 漏洞概述

东胜物流软件 TCodeVoynoAdapter.aspx、/TruckMng/MsWlDriver/GetDataList、/MvcShipping/MsBaseInfo/SaveUserQuerySetting、/Shipping/CompanysAccountGridSource.aspx、/FeeCodes/OPERATORCODEAdapter.aspx、/FeeCodes/SubCompSeaeDefAdapter.aspx等接口处存在 SQL 注入漏洞,攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。

0x03 复现环境

微步资产测绘:app=东胜物流软件

7d2a8a10f83a484db9dcbc288ecd6f85.png0x04 漏洞复现 

PoC-1

GET /FeeCodes/TCodeVoynoAdapter.aspx?mask=0&pos
了解本专栏 订阅专栏 解锁全文 超级会员免费看
0xSecl
关注
专栏目录
订阅专栏
东胜物流软件 GetProParentModuTreeList SQL注入漏洞复现
0xSec
06-13 523
东胜物流软件 GetProParentModuTreeList 接口存在SQL注入漏洞,未经身份验证的远程攻击者除了可以利用SQL注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。
HW漏洞威胁情报第三十一天|HW情报
weixin_43167326的博客
08-22 391
技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他!!!
某胜物流软件三个接口sql注入漏洞(附漏洞检测脚本)
jjjj1029056414的博客
02-23 1348
东胜物流软件三个接口sql注入漏洞,附带自己写的poc脚本
bs架构 erp 进销存_理事单位业务推介东胜物流软件专业铁路物流ERP货代软件
weixin_35992880的博客
12-05 471
公司简介青岛东胜伟业软件有限公司初创于2004年11月(前身为青岛景宏物流信息技术有限公司),公司主要业务范围为航运物流相关环节的产品和服务。目前总共有员工30余人,大部分具有多年航运物流信息化经验。其中货代软件产品用户近1600家,在青岛口岸市场占有率超过30%,具有良好的口碑和广泛的覆盖率。东胜软件致力于为客户提供IT支撑的SOP,帮助客户大幅提高工作效率,降低各个环节的潜在风...
F5 BIG-IP Next Central Manager SQL注入漏洞(CVE-2024-26026)
weixin_43167326的博客
05-10 586
技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他!!! CVE-2024-26026是BIG-IP Next Central Manager中的SQL注入漏洞。未经身份验证的远程攻击者可以通过向易受攻击的Next Central Manager API端点发送
1day新接口-东胜物流软件 GetProParentModuTreeList SQL注入漏洞
weixin_43167326的博客
06-14 1006
青岛东胜伟业软件科技有限公司成立于2004年11月,公司创立之初以开发、销售航运物流软件(货代、报关)为主业,随着业务的拓展,公司主业扩展为三大板块,分别为物流咨询、物流信息平台、物流软件东胜物流软件是青岛东胜伟业软件有限公司开发的一款集订单管理、物流管理、仓储管理、配送管理、物流跟踪等功能于一体的物流管理软件。该软件旨在帮助物流企业提高物流效率、降低成本、提高客户满意度。
东胜物流cms tcodevoynoadapter.aspx接口sql注入漏洞复现 [附POC]
薛定谔嘚喵博客
02-21 222
东胜物流软件是一款致力于为客户提供IT支撑的 SOP,帮助客户大幅提高工作效率,降低各个环节潜在风险的物流软件。其 tcodevoynoadapter.aspx接口存在sql注入漏洞
漏洞复现东胜物流软件-GetDataList-SQL注入
知黑而守白
01-18 78
东胜物流软件是一款致力于为客户提供IT支撑的SOP,帮助客户大幅提高工作效率,降低各个环节潜在风险的物流软件东胜物流软件存在一个严重的 SQL 注入漏洞,攻击者可以通过在相关参数中注入恶意的 SQL 语句,导致数据库泄露、数据篡改或执行任意 SQL 查询。
漏洞复现东胜物流软件-SaveUserQuerySetting-SQL注入
知黑而守白
01-18 79
东胜物流软件是一款致力于为客户提供IT支撑的SOP,帮助客户大幅提高工作效率,降低各个环节潜在风险的物流软件东胜物流软件存在一个严重的 SQL 注入漏洞,攻击者可以通过在相关参数中注入恶意的 SQL 语句,导致数据库泄露、数据篡改或执行任意 SQL 查询。
网络安全概述:从认知到实践
l1x1n0的博客
10-04 516
网络安全:保护网络系统的硬件、软件及数据,确保其不受破坏、泄露或篡改。网络安全是一个不断发展的领域,需要个人、企业和国家共同努力。提高安全意识,掌握基本防护技能,遵守相关法律法规,是每个网络用户应尽的责任。同时,网络安全产业的快速发展也为相关人才提供了广阔的职业前景。
如何安全地大规模部署 GenAI 应用程序
最新发布
网络研究观
10-06 454
将生成式人工智能融入到你的商业模式中,既会带来新的风险,也会带来新的回报。以下是如何应对这些风险。
【蚂蚁HR-注册/登录安全分析报告】
09-28 1331
蚂蚁社保是武汉微蚁企业服务有限公司旗下的网站,主要提供五险一金的代缴、补缴、社保开户、社保挂靠和社保代理服务。该平台主要覆盖一二线城市,目前已覆盖13+城市。蚂蚁社保的特点是高度自动化和在线化,创始人团队致力于通过程序和硬件替代所有可以自动化的环节,从而最大限度地减少人为错误,作为头部的社保代缴平台, 技术实力也应该不错,但采用的还是老一代的图形验证码已经落伍了, 用户体验一般,容易被破解, 一旦被国际黑客发起攻击,将会对老百姓形成骚扰,影响声誉。
企业间图文档发放:如何在保障安全的同时提升效率?
文件数据安全交换
09-29 775
飞驰云联是中国领先的数据安全传输解决方案提供商,长期专注于安全可控、性能卓越的数据传输技术和解决方案,公司产品和方案覆盖了跨网跨区域的数据安全交换、供应链数据安全传输、数据传输过程的防泄漏、FTP的增强和国产化替代、文件传输自动化和传输集成等各种数据传输场景。《Ftrans B2B企业间文件安全交换系统》仅需通用浏览器即可使用,用户界面清晰明了,功能操作和收发流程简单便捷,可快速在企业内外部推行,实现安全的图文档发放,极大降低用户学习成本,提升终端用户满意度,为企业内外部的业务协作提供保障。
安全服务面试
m0_74402888的博客
09-28 907
内网的计算机可向 Internet 上的其他计算机发送连接请求,但 Internet 上其他。个列表中的 IP 进行 SYN+ACK 的重试。明白这种攻击的基本原理,还是要从 TCP 连接建立的过程开始说起:大家都知道,TCP 与。的 IP 地址,如果攻击者以数万/秒的速度发送 SYN 报文,同时利用 SOCK_RAW。Internet 上的计算机,但 Internet 上的计算机无法访问局域网内的计算机。内网的计算机以 NAT(网络地址转换)协议,通过一个公共的网关访问 Internet。
等保测评:企业数字安全的坚实盾牌
w13359990065的博客
09-30 1786
据权威机构统计,未通过等保测评的企业在遭遇网络安全事件时,其数据泄露风险高出已通过企业近30%,这不仅直接威胁到企业的核心资产安全,还可能导致品牌信誉的严重受损。以某知名电商企业为例,因忽视等保测评,其支付系统曾遭受黑客攻击,导致大量用户信息泄露,最终不仅面临巨额罚款,还失去了大量客户的信任,市场份额一落千丈。以某知名电商企业为例,其在一次等保测评中发现,其支付系统存在一处严重的SQL注入漏洞,该漏洞允许攻击者通过构造特定的输入参数,绕过系统验证,直接访问数据库,进而获取敏感信息。
从《GTA5》的反外挂斗争看网络安全的重要性
@云安全小杜
09-26 1033
本文将探讨《GTA5》在对抗外挂过程中遇到的挑战,特别是当游戏开发者试图增强游戏安全性时所遭受的DDoS攻击,并从中提炼出对于网络安全的一些启示。然而,随着游戏人气的增长,一些不法分子开始利用技术手段制作并销售外挂程序,这些程序可以让使用者在游戏中获得不公平的优势,从而破坏了游戏环境。请注意,以上内容是基于假设的情景编写的技术分析文章,实际案例可能涉及更多的细节和技术层面的问题。《GTA5》与外挂之间的斗争提醒我们,在享受数字世界带来的便利的同时,也需要时刻警惕潜在的安全风险,并积极采取措施加以防范。
【JWT安全】portswigger JWT labs 全解
uuzeray的博客
10-02 1305
根据设计,服务器通常不会存储有关其发出的 JWT 的任何信息。相反,每个令牌都是一个完全独立的实体。这有几个优点,但也带来了一个根本问题 - 服务器实际上不知道令牌的原始内容,甚至不知道原始签名是什么。因此,如果服务器没有正确验证签名,就无法阻止攻击者对令牌的其余部分进行任意更改。如果服务器根据此 来识别会话username,则修改其值可能会使攻击者能够冒充其他登录用户。同样,如果该isAdmin值用于访问控制,则可能为特权升级提供一个简单的payload。
什么是“0day漏洞”?
分享关于Java编程、数据库管理和信息安全方面的最佳实践
09-29 687
0day漏洞是信息安全中的“幽灵”,因为它的隐蔽性和破坏性往往超出我们的预期。虽然普通用户和企业无法完全规避0day漏洞,但通过保持良好的安全习惯和使用合适的防护工具,可以在一定程度上降低受到0day攻击的风险。信息安全永远在变,防护措施也需要不断更新。在快速发展的网络环境中,我们只有时刻保持警惕,才能最大限度地保护我们的数据和隐私。
东胜煤田地震勘探:波阻抗反演技术解决煤层对比难题
"波阻抗反演在东胜煤田勘探中的应用" 东胜煤田的地质特征为其勘探带来了挑战。该区域属于陆相沉积煤田,具有复杂的地质构造,包括多旋回构造发展阶段,形成了中生代盆地的多次坳陷叠加。主要的勘探目标是中生代晚期...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

0xSecl

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值