海翔云ERP getylist_login 接口SQL注入

已于 2024-03-10 18:12:20 修改
阅读量37 收藏
点赞数
分类专栏: 漏洞复现 文章标签: web安全
于 2024-03-10 18:11:49 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43567873/article/details/136605986
版权

简介

海翔云ERP由成都海翔软件有限公司自主研发,拥有完全知识产权。 云ERP为企业提供营销 + 财务 + 仓储 + 物流整体解决方案。

漏洞描述

海翔云ERP getylist_login 接口处存在SQL注入漏洞,恶意攻击者可能会利用该漏洞获取服务器敏感信息,最终导致服务器失陷。

影响版本

海翔云ERP
Fofa:

body="checkMacWaitingSecond"

漏洞复现

POST /getylist_login.do HTTP/1.1
Host:
Cookie: JSESSIONID=D5D958F8CDE952504CD5E5A2159D75D2
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:123.0) Gecko/20100101 Firefox/123.0
Accept: */*
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate, br
Sec-Fetch-Dest: empty
Sec-Fetch-Mode: cors
Sec-Fetch-Site: same-origin
Te: trailers
Connection: close
Content-Type:
了解本专栏 订阅专栏 解锁全文 超级会员免费看
今天晚上早睡觉
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
订阅专栏
海翔ERP getylist_login.do SQL注入漏洞
qq_39573664的博客
12-25 460
海翔ERP在getylist_login.do接口的accountname存在sql注入漏洞,攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。
【漏洞复现】海翔云ERP getylist_login 接口SQL注入漏洞
weixin_52204925的博客
03-07 623
海翔云ERP getylist_login 接口处存在SQL注入漏洞,恶意攻击者可能会利用该漏洞获取服务器敏感信息,最终导致服务器失陷。
海翔ERP getylist_login.do接口存在sql注入漏洞
nnn2188185的博客
03-09 90
海翔ERP getylist_login.do接口存在sql注入漏洞 附POC软件
海翔ERP getylist_login.do SQL注入漏洞(含批量验证poc)
weixin_43567873的博客
04-18 19
海翔ERP getylist_login.do SQL注入漏洞(含批量验证poc)
Goby 漏洞更新 | 海翔云平台 getylist_login.do SQL 注入漏洞
m0_46699477的博客
05-12 169
seaflysoft 云平台一站式整体解决方案提供商,业务涵盖批发、连锁、零售行业ERP解决方案、wms仓储解决方案、电子商务、外勤、移动端(PDA、APP、小程序)解决方案。 系统getylist_login.do存在SQL注入漏洞,攻击者可通过该漏洞获取数据库权限
SQL注入的简单案例
勇敢的兵
09-01 3656
文章目录什么是SQL注入使用数据库客户端工具查询用户表访问ERP系统(对密码输入框进行SQL注入SQL注入的原理解决方案重新注册一个管理员账号使用sys账号登录ERP系统(输入正确的密码)使用sys账号登录ERP系统(对密码输入框进行SQL注入)UserDAO类的完整代码 什么是SQL注入 SQL注入是现在普通使用的一种攻击手段,就是通过把非法的SQL命令插入到Web表单中或页面请求查询字符串中...
ERP_用友U8后台SQL批量查询BOM
PQName的博客
04-21 2495
ERP_用友U8后台SQL批量查询BOM 1、BOM批量查询在U8前端无法全部输出; 这是用户端非常苦恼的一件事且因为购买加密站点的原因;普通用户查询或者导出一个BOM是非常困难的,也考虑到公司机密权限的问题;故自定义开发批量查询BOM的报表; SQL: select [母件资料].BomId as [母件资料ID ],[母件资料].ParentId as [母件物料Id],[物料表].InvCode 母件料号 ,[存货档案1].cInvName AS [母件物料名], [存货档案1].cInvStd AS
ERP接口介绍
热门推荐
fengxuefeifei的博客
12-14 1万+
ERP接口介绍 一、ERP接口概况 我们增加了ERP接口接口的作用有: 简化天思ERP与外围系统的集成 将ERP、TCODE 、TBOSS协调成一个整体 与ERP一起维护 … ERP接口方便与外围程序集成,是现在很通用的一种模式,那么接口是什么意思,我们怎么使用它? 我们经常说的接口,其实就是一个API。 而API,我们可能经常听到,但是不是很明白,先看它的百科介绍: API,英文全称Application Programming Interface,翻译为“应用程序接口”,是一些预先定义的函数,目.
ERP浅谈之报表SQL简述
Mr.Yu的专栏
02-14 3060
昨天刚刚独立完成了一次月销售增长分析报表,发现了很多问题和方法,觉得很有必要来记录一下. 首先贴一下代码: /*dialect*/ select Fnumber,FName_l2,sum(NowFQty) NowFQty,sum(LastFQty) LastFQty,sum(NowFAmount) NowFAmount,sum(LastFAmount) LastFAmount,sum(NowF
erp.rar_C# ERP_C# winform_ERP 数据库_developer_sql developer
09-21
c#编写的汽车销售公司erp进销存系统,内涵sql数据库,含有第三方控件Developer Express WinForms Component Visual Studio 2003 v2.2.0。
ERP_sql.rar_ERP源码_ERP系统_delphi 3层ERP_三层
09-21
三层ERP系统源码, delphi sql
ssh--ERP-java.rar_ERP_erp ssh_erp系统 java_spring erp_ssh sqlserv
09-20
用Java实现的一个ERP系统,使用了Struts /Spring/Hibernate三大框架,使用的是SQLServer数据库,里面有数据库文件,可以直接导入
ERP.rar_ERP_ERP CSharp_wcf
09-19
对wcf技术做一个全面介绍,包括地址,契约,绑定,
erp.rar_ERP_ERP 系统 _ERP系统
09-14
一个ERP系统可以用来学习之用,做相应的程序的同学可以用来参考
Gartner发布电信运营商应对持续变化的网络安全环境指南:现代云安全与网络安全的五大核心挑战
最新发布
lurenjia404的博客
05-30 518
所有组织的云和网络都面临着高级威胁。作为网络安全的关键参与者,电信运营商的 CIO 需要了解行业面临的挑战,并了解应采用哪些解决方案来实现方法的现代化。
如何处理网安发出的网络安全监督检查限期整改通知
联蔚盘云的博客
05-27 397
近期,很多客户都收到了网安发出的限期整改通知。大家都比较关心的问题是,如何应对处理这些限期整改通知。后续是否有其他的影响,需要如何做进一步的优化整改和调整。今天就这些问题给大家做一些分享。
构建坚不可摧的Web安全防线:深入剖析二阶注入与全面防御策略
weixin_43822401的博客
05-27 825
SQL注入攻击通过在用户输入中嵌入恶意SQL代码,企图让数据库执行这些非法命令,从而达到窃取、破坏或篡改数据的目的。
华夏erp jsh_sequence
08-02
华夏ERP是一种企业资源规划(ERP)软件系统,可用于帮助企业管理各个部门和流程。而JSH_Sequence是华夏ERP中的一个功能模块。 JSH_Sequence(华夏-流水号)是一个用于生成自动流水号的功能模块。在企业运营过程中,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值