【漏洞复现】蓝凌EIS智慧协同平台-doc-fileedit-word-sql注入

最新推荐文章于 2024-08-11 18:16:25 发布
最新推荐文章于 2024-08-11 18:16:25 发布
阅读量72 收藏
点赞数
分类专栏: 漏洞复现 文章标签: web安全 蓝凌EIS智慧协同平台
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44905116/article/details/135533521
版权
本文介绍了蓝凌EIS智慧协同平台中的doc-fileedit-word接口存在的SQL注入漏洞,详细阐述了漏洞概述及复现过程,揭示了攻击者可能通过构造恶意SQL执行数据库操作,引发敏感信息泄露和数据篡改的风险。
摘要由CSDN通过智能技术生成

目录

0x01 产品简介

0x02 漏洞概述

0x03 网络测绘

0x04 漏洞复现

0x05 Nuclei

0x01 产品简介

        蓝凌EIS智慧协同平台是个自动化办公OA,具有多端同步、无缝协作,提供移动端(蓝凌KK、阿里钉钉、微信企业号)、桌面端、网页端多端应用统一入口、跨屏操作、信息同步知识云服务集成、学习与创新应用、企业2.0应用、跨系统整合等优点,并且在诸多公司也采用该平台。

0x02 漏洞概述

         蓝凌EIS智慧协同平台 doc_fileedit_word 接口存在SQL注入漏洞。攻击者可以通过构造恶意的SQL语句,成功注入并执行恶意数据库操作,可能导致敏感信息泄露、数据库被篡改或其他严重后果。

0x03 网络测绘

app="Landray-EIS智慧协同平台" || body="jquery.landray.common.js" || icon_hash="953405444"

0x04 漏洞复现

了解本专栏 订阅专栏 解锁全文 超级会员免费看
.Rain.
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
漏洞复现蓝凌EIS智慧协同平台-ShowUserInfo-sql注入
知黑而守白
01-11 264
蓝凌EIS智慧协同平台是个自动化办公OA,具有多端同步、无缝协作,提供移动端(蓝凌KK、阿里钉钉、微信企业号)、桌面端、网页端多端应用统一入口、跨屏操作、信息同步知识云服务集成、学习与创新应用、企业2.0应用、跨系统整合等优点,并且在诸多公司也采用该平台蓝凌EIS智慧协同平台ShowUserInfo接口存在SQL注入漏洞。攻击者可以通过构造恶意的SQL语句,成功注入并执行恶意数据库操作,可能导致敏感信息泄露、数据库被篡改或其他严重后果。
漏洞复现蓝凌EIS智慧协同平台-frm-form-list-main-sql注入
知黑而守白
01-15 105
蓝凌EIS智慧协同平台是个自动化办公OA,具有多端同步、无缝协作,提供移动端(蓝凌KK、阿里钉钉、微信企业号)、桌面端、网页端多端应用统一入口、跨屏操作、信息同步知识云服务集成、学习与创新应用、企业2.0应用、跨系统整合等优点,并且在诸多公司也采用该平台蓝凌EIS智慧协同平台 frm_form_list_main 接口存在SQL注入漏洞。攻击者可以通过构造恶意的SQL语句,成功注入并执行恶意数据库操作,可能导致敏感信息泄露、数据库被篡改或其他严重后果。
蓝凌-EIS-doc-fileedit-word-sql注入-漏洞复现
weixin_43167326的博客
01-20 387
蓝凌EIS是一款全面的企业管理软件,以知识管理为核心,致力于提升组织产能。其特点在于高度自定义、易用性和灵活扩展性。通过自定义功能和流程,蓝凌EIS能够满足企业的个性化需求。同时,简单的界面和操作方式使得员工能够快速上手使用。蓝凌EIS还注重知识管理,提供知识模板和知识库等功能,方便员工进行知识分享和学习。此外,蓝凌EIS还提供丰富的。
漏洞复现蓝凌EIS智慧协同平台-frm-button-func-sql注入
知黑而守白
01-15 85
蓝凌EIS智慧协同平台是个自动化办公OA,具有多端同步、无缝协作,提供移动端(蓝凌KK、阿里钉钉、微信企业号)、桌面端、网页端多端应用统一入口、跨屏操作、信息同步知识云服务集成、学习与创新应用、企业2.0应用、跨系统整合等优点,并且在诸多公司也采用该平台蓝凌EIS智慧协同平台frm_button_func接口存在SQL注入漏洞。攻击者可以通过构造恶意的SQL语句,成功注入并执行恶意数据库操作,可能导致敏感信息泄露、数据库被篡改或其他严重后果。
漏洞复现蓝凌EIS智慧协同平台-UniformEntry-sql注入
知黑而守白
01-15 59
蓝凌EIS智慧协同平台是个自动化办公OA,具有多端同步、无缝协作,提供移动端(蓝凌KK、阿里钉钉、微信企业号)、桌面端、网页端多端应用统一入口、跨屏操作、信息同步知识云服务集成、学习与创新应用、企业2.0应用、跨系统整合等优点,并且在诸多公司也采用该平台蓝凌EIS智慧协同平台 UniformEntry 接口存在SQL注入漏洞。攻击者可以通过构造恶意的SQL语句,成功注入并执行恶意数据库操作,可能导致敏感信息泄露、数据库被篡改或其他严重后果。
蓝凌EIS智慧协同平台 doc_fileedit_word.aspx 存在 SQL注入漏洞
3tefanie丶zhou的博客
01-10 884
蓝凌EIS智慧协同平台是一款专为企业提供高效协同办公和团队合作的产品。该平台集成了各种协同工具和功能,旨在提升企业内部沟通、协作和信息共享的效率。由于蓝凌EIS智慧协同平台 doc_fileedit_word.aspx接口处未对用户输入的SQL语句进行过滤或验证导致出现SQL注入漏洞,未经身份验证的攻击者可以利用此漏洞获取数据库敏感信息。
蓝凌EIS智慧协同平台 多处SQL注入漏洞复现
0xSec
01-12 585
​由于蓝凌EIS智慧协同平台 doc_fileedit_word.aspx、frm_form_list_main.aspx、frm_button_func.aspx、fl_define_flow_chart_show.aspx等接口处未对用户输入的SQL语句进行过滤或验证导致出现SQL注入漏洞,未经身份验证的攻击者可以利用此漏洞获取数据库敏感信息。
漏洞复现蓝凌EIS智慧协同平台-dingtalkmessage-sql注入
知黑而守白
01-25 279
蓝凌EIS智慧协同平台是个自动化办公OA,具有多端同步、无缝协作,提供移动端(蓝凌KK、阿里钉钉、微信企业号)、桌面端、网页端多端应用统一入口、跨屏操作、信息同步知识云服务集成、学习与创新应用、企业2.0应用、跨系统整合等优点,并且在诸多公司也采用该平台蓝凌EIS智慧协同平台 dingtalkmessage 接口存在SQL注入漏洞。攻击者可以通过构造恶意的SQL语句,成功注入并执行恶意数据库操作,可能导致敏感信息泄露、数据库被篡改或其他严重后果。
漏洞复现蓝凌EIS智慧协同平台-fl-define-flow-chart-show-sql注入
知黑而守白
01-15 66
蓝凌EIS智慧协同平台是个自动化办公OA,具有多端同步、无缝协作,提供移动端(蓝凌KK、阿里钉钉、微信企业号)、桌面端、网页端多端应用统一入口、跨屏操作、信息同步知识云服务集成、学习与创新应用、企业2.0应用、跨系统整合等优点,并且在诸多公司也采用该平台蓝凌EIS智慧协同平台 fl_define_flow_chart_show接口存在SQL注入漏洞。攻击者可以通过构造恶意的SQL语句,成功注入并执行恶意数据库操作,可能导致敏感信息泄露、数据库被篡改或其他严重后果。
蓝凌-协同办公解决方案介绍.pdf
07-08
### 蓝凌协同办公解决方案概述 #### 一、蓝凌公司简介 蓝凌作为企业智慧办公领域的领导者,自2001年成立以来,一直致力于为企业提供一站式的智慧办公解决方案。其核心产品和服务覆盖了智能门户、协同办公、知识管理...
案例国内酵母行业龙头-安琪酵母集团电子签应用案例 (2)
11-17
平台需要能够与集团现有的信息系统集成,包括泛微OA、SAP、汉得合同系统、蓝凌档案系统等。 项目背景:安琪酵母集团是一个全球第二大酵母供应商,拥有40多家子公司,业务遍及全球160多个国家和地区。集团需要一个...
走向智慧财务-蓝凌智能化费用管控解决方案.zip
03-18
在招投标环节,蓝凌方案提供定制化的WORD/PPT文档,详细阐述其技术优势、应用场景及预期成效,旨在向潜在客户展示其解决方案的专业性与适应性。这些文档精心设计,以清晰、专业的视觉效果和内容组织,凸显方案的价值...
蓝凌管理员手册-后台配置中心手册.docx
05-11
蓝凌管理员手册-后台配置中心手册 本手册旨在帮助蓝凌管理员了解后台配置中心的设置和管理,掌握蓝凌标准产品的管理员权限和配置中心的使用。下面是从手册中提炼出的相关知识点: 一、组织权限中心 * 组织权限...
蓝凌标准产品V16.0管理员手册-流程表单+.pdf
12-29
"蓝凌标准产品V16.0管理员手册-流程表单+.pdf" 蓝凌标准产品管理员手册流程表单是蓝凌标准产品管理员操作手册的重要组成部分。该手册提供了蓝凌标准产品管理员在日常工作中所需的知识和技能,涵盖了流程配置、通用...
网络安全知识渗透测试
m0_66268916的博客
08-09 616
渗透测试是一种模拟网络攻击,用于识别漏洞并制定规避防御措施的策略。笔测试还有助于评估组织的合规性、提高员工对安全协议的认识、评估事件响应计划的有效性并确保业务连续性。渗透测试的第一步是收集有关目标网络的信息,了解网络拓扑、主机信息、服务信息、用户账户等,以便制定针对性的攻击策略。成功攻破目标系统后,需要进行后渗透测试,巩固攻击成果,并获取更多信息。根据信息收集和漏洞扫描的结果,选择合适的攻击方法,对目标网络进行渗透测试。完成渗透测试后,需要对测试结果进行分析,评估内网的整体安全状况。
《密码编码学与网络安全原理与实践》第四章第六章第七章 对称加密体制
m0_57291352的博客
08-06 1050
对称加密包括分组密码和流密码分组密码:信息被分块(block)进行加密和解密,连续的明文元素使用相同的密钥K来加密,密文C=c1c2…=EK(m1)EK(m2)…C =c_1c_2…=E_K(m_1)E_K(m_2)…C=c1​c2​…=EK​(m1​)EK​(m2​)…。分组密码可以看作是一个字符长度很大代换——如64比特或更多。大部分的分组对称密码都基于Feistel结构。可逆变换是必要条件。设计”安全”的密码算法不难,只要使用足够多的轮数就可以,但降低速度,因此所有问题就是平衡问题。流密码:流密码中按
网络安全(黑客)—自学手册
dexi113的博客
08-05 1659
此教程为纯技术分享!本教程的目的决不是为那些怀有不良动机的人提供及技术支持!也不承担因为技术被滥用所产生的连带责任!本教程的目的在于最大限度地唤醒大家对网络安全的重视,并采取相应的安全措施,从而减少由网络安全而带来的经济损失。
网络安全流程规范文件解读(安全专业L1级)
最新发布
qyq88888的专栏
08-11 1012
网络运行重大故障定义涵盖了现网各类重要业务和设备:1.重大业务故障:话音业务、数据业务、互联互通业务2.重大设备故障:传输网、承载网(IP承载网及CMNET)、无线接入网、核心网、语音增值平台、数据网、网管网、电源、空调。3.TD网络重大故障。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

.Rain.

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值