浙大恩特客户资源管理系统-Quotegask_editAction-sql注入(含批量验证poc)

已于 2024-03-30 23:16:35 修改
阅读量104 收藏
点赞数
分类专栏: 漏洞复现 文章标签: web安全
于 2024-03-29 13:53:07 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43567873/article/details/137143021
版权
本文介绍了浙大恩特客户资源管理系统在Quotegask_editAction接口存在的SQL注入漏洞,详细阐述了漏洞可能导致的安全风险,包括数据泄露和服务器权限获取。通过Fofa资产测绘,受影响的资产数量达10,443。同时,文中提供了漏洞复现和Tsan Poc。" 132999901,20015771,智能硬件:家庭硬盘驱动器HHD的全面解析,"['智能硬件', '数据存储', '网络连接', '数据备份', 'Flask']
摘要由CSDN通过智能技术生成

简介

杭州恩软信息技术有限公司(浙大恩特)提供外贸管理软件、外贸客户管理软件等外贸软件,是一家专注于外贸客户资源管理及订单管理产品及服务的综合性公司。

漏洞简介

浙大恩特客户资源管理系统-Quotegask_editAction接口存在SQL注入漏洞,可以利用该漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。

资产测绘

Fofa语句:
title=”浙大恩特客户资源管理系统” || body=”script/Ent.base.js”
影响资产数量:
10,443

漏洞复现

了解本专栏 订阅专栏 解锁全文 超级会员免费看
今天晚上早睡觉
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
订阅专栏
【漏洞复现】浙大恩特客户资源管理系统-Quotegask_editAction-sql注入
知黑而守白
03-29 99
杭州恩软信息技术有限公司(浙大恩特)提供外贸管理软件、外贸客户管理软件等外贸软件,是一家专注于外贸客户资源管理及订单管理产品及服务的综合性公司,隶属浙江大学国家大学科技园,立足于中国外向型企业的管理软件系统的设计,研发和咨询服务。浙大恩特客户资源管理系统 FollowAction 接口存在SQL注入漏洞。攻击者可以通过构造恶意的SQL语句,成功注入并执行恶意数据库操作,可能导致敏感信息泄露、数据库被篡改或其他严重后果。
浙大恩特客户资源管理系统 Quotegask_editAction SQL注入漏洞复现
0xSec
04-04 255
浙大恩特客户资源管理系统Quotegask_editAction接口存在SQL注入漏洞,攻击者可通过输入恶意SQL代码,突破系统原本设定的访问规则,未经授权访问、修改或删除数据库中的各类敏感信息,包括但不限于员工个人资料、企业核心业务数据等。
浙大恩特客户资源管理系统-MailAction-AppUpload-任意文件上传(批量验证poc
weixin_43567873的博客
03-29 196
浙大恩特客户资源管理系统-MailAction-AppUpload-任意文件上传
浙大恩特客户资源管理系统 FollowAction SQL注入漏洞复现(nuclei-POC)_浙大恩特资源管理
2401_84138986的博客
04-09 331
浙大恩特客户资源管理系统是一款针对企业客户资源管理的软件产品。该系统旨在帮助企业高效地管理和利用客户资源,提升销售和市场营销的效果。
浙大恩特客户资源管理系统-RegulatePriceAction接口SQL注入
weixin_43567873的博客
03-15 238
浙大恩特客户资源管理系统-RegulatePriceAction接口SQL注入
【网络安全】漏洞挖掘
anquan2233的博客
08-29 1483
在springframeworl/expression/spel/stand/InternalSpelExpressionParser/doParseExpression()方法中、会在tokenizer.process()中 对token进行 源码与字节码的判断操作、继续向下。会进入到springframework/cloud/function/context/config/RoutingFunction/functionFromExpression()方法。Payload 的构造可以参考官方测试用例。
网络安全(黑客)自学
白帽子凯哥聊黑客
09-04 509
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。无论网络、Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如 Web安全技术,既有 Web 渗透,也有 Web 防御技术(WAF)。作为一个合格的网络安全工程师,应该做到攻守兼备,毕竟知己知彼,才能百战百胜。
网络安全服务基础Windows--第12节-域与活动目录
m0_65771743的博客
09-03 1017
域中的计算机可以共享资源,例如⽂件系统和打印机,⽤户只需在域中进⾏⼀次登录(单点登录),就可以访问其有权限的所有资源。我们在服务器上通过查找⼀个对象可以查到的所有关联信息总和,如⼀个⽤户,如果我们在服务器已给这个⽤户定义了讲如:⽤户名、⽤户密码、⼯作单位、联系电话、家庭住址等,那上⾯所说的总和⼴义上理解就是“⽤户”这个名字的名字空间,因为我们只输⼊⼀个⽤户名即可找到上⾯我所列的⼀切信息。例如,在AD中,域控制器的名称会映射到其在DNS中的记录,以便⽹络中的其他服务和客户端可以找到它。
网络安全知识:什么是访问控制列表 (ACL)?
2401_84434570的博客
09-04 591
使用 ACL 的操作系统包括 Microsoft Windows NT/2000、Novell 的 Netware、Digital 的 OpenVMS 和基于 UNIX 的系统。通常,标准 ACL 实施在靠近其要保护的目的地的位置,而扩展 ACL 则放置在靠近源的位置。ACL 有多种形式,每种形式都适用于不同的场景,并提供不同级别的控制和复杂性。每个对象都与一个安全属性相关联,该属性将其链接到其 ACL,其中包每个具有该对象访问权限的用户的条目。将最常触发的规则置于 ACL 的顶部以优化性能。
2024年“羊城杯”粤港澳大湾区网络安全大赛 初赛 Web&数据安全&AI 题解WriteUp
Jay17的博客
09-04 663
2024年“羊城杯”粤港澳大湾区网络安全大赛 初赛 Web&数据安全&AI 题解WriteUp
如何用3个月零基础入门网络安全?_网络安全零基础怎么学习
2401_84466224的博客
09-01 1248
我们知道计算机最早是在西方发明出来的,很多名词或者代码都是英文的,甚至现有的一些教程最初也是英文原版翻译过来的,而且一个漏洞被发现到翻译成中文一般需要一个星期的时间,在这个时间差上漏洞可能都修补了。”答案是否定的,黑客用的电脑,不需要什么高的配置,只要稳定就行.因为黑客所使用的一些程序,低端CPU也可以很好的运行,而且不占什么内存.还有一个,黑客是在DOS命令下对进行的,所以电脑能使用到最佳状态!观看学习近十年所有0day挖掘的帖,然后搭建环境,去复现漏洞,去思考学习笔者的挖洞思维,培养自己的渗透思维。
【网络安全】IIS未授权访问敏感数据
等风来
09-04 32
可以访问用户信息、服务状态、系统目录,在某些版本下可以实现RCE。
网络安全硬件
qq_65150735的博客
08-27 1163
网络安全基础总结
25届应届网安面试,默认页面信息泄露
persist213的博客
08-23 1992
吉祥知识星球《网安面试指南》《Java代码审计》《Web安全》《应急响应》《护网资料库》
网络安全:键盘记录器
网络研究观
09-03 1049
这是一种有害的恶意软件,它可能对系统或网络的隐私和安全构成重大威胁。
10.9 网络安全概述
最新发布
m0_38066007的博客
09-04 100
网络安全威胁 网络安全控制技术 防火墙技术 入侵检查系统 入侵检测与防御 真题
浙大恩特外贸客户管理系统操作指南
"浙大恩特外贸客户管理系统使用手册" 浙大恩特外贸客户管理系统是一款专为外贸企业设计的高效管理工具,旨在帮助企业管理客户信息、跟进进度、销售计划以及日常运营。本手册详细介绍了系统的安装、使用和各项功能的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值