易宝OA GetProductInv SQL注入(含批量验证poc)

已于 2024-04-08 14:03:32 修改
阅读量60 收藏 1
点赞数
分类专栏: 漏洞复现 文章标签: sql 数据库 web安全
于 2024-04-08 14:03:23 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43567873/article/details/137506931
版权
易宝OA系统中的/SmartTradeScan/Inventory/GetProductInv接口存在SQL注入漏洞,未授权攻击者能利用此漏洞获取数据库敏感信息,包括用户名和密码,可能进一步控制服务器。漏洞于2024年4月5日披露,影响了2,878个易宝OA系统实例。复现漏洞需要 poc。" 109677483,9230890,Angular2 数据交互:向后台添加数据,"['前端开发', 'Angular', 'HTTP']
摘要由CSDN通过智能技术生成

简介

易宝OA系统是一种专门为企业和机构的日常办公工作提供服务的综合性软件平台,具有信息管理、 流程管理 、知识管理(档案和业务管理)、协同办公等多种功能。

漏洞概述

易宝OA /SmartTradeScan/Inventory/GetProductInv 接口处存在SQL注入漏洞,未经身份认证的攻击者可以通过此漏洞获取数据库敏感信息,用户名密码等凭据,进一步利用可获取服务器权限。

漏洞编号与披露时间

漏洞编号:暂无
披露时间:2024-04-05

影响版本与影响数量

影响版本:易宝OA
影响数量:2,878
 


Fofa:

app="顶讯科技-易宝OA系统"

了解本专栏 订阅专栏 解锁全文 超级会员免费看
今天晚上早睡觉
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
订阅专栏
易宝OA GetProductInv SQL注入漏洞复现
0xSec
04-05 392
易宝OA /SmartTradeScan/Inventory/GetProductInv 接口存在SQL注入漏洞,未经身份认证的攻击者可以通过此漏洞获取数据库敏感信息,用户名密码等凭据,进一步利用可获取服务器权限。
易宝OA getStockInRequestPrintDetail SQL注入漏洞(批量验证poc
2301_82242296的博客
04-20 266
app=”顶讯科技-易宝OA系统”影响资产数量:2,879。
易宝OA GetProductInv SQL注入批量验证poc),作为一个网络安全程序员你还不会JetPack
2401_83946826的博客
04-20 396
易宝OA /SmartTradeScan/Inventory/GetProductInv 接口存在SQL注入漏洞,未经身份认证的攻击者可以通过此漏洞获取数据库敏感信息,用户名密码等凭据,进一步利用可获取服务器权限。
易宝OA getStockInRequestPrintDetail SQL注入漏洞(批量验证poc)(1)
2301_82242296的博客
04-20 422
易宝OA是一种专门为企业和机构的日常办公工作提供服务的综合性软件平台,具有信息管理、流程管理、知识管理(档案和业务管理)、协同办公等多种功能。
易宝OA SQL注入漏洞复现
0xSec
11-30 1163
易宝OA ExecuteSqlForSingle、IsPartNumber接口存在SQL注入漏洞,未经身份认证的攻击者可以通过此漏洞获取数据库敏感信息,用户名密码等凭据,进一步利用可获取服务器权限
易宝OA ExecuteSqlForSingle接口 SQL注入漏洞
qq_45936921的博客
12-20 597
免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。
易宝OA ExecuteQueryForDataSetBinary SQL注入漏洞复现
0xSec
04-05 247
易宝OA ExecuteQueryForDataSetBinary接口存在SQL注入漏洞,未经身份认证的攻击者可以通过此漏洞获取数据库敏感信息,用户名密码等凭据,进一步利用可获取服务器权限。
易宝OA ExecuteSqlForDataSet SQL注入漏洞复现
0xSec
04-04 512
易宝OA ExecuteSqlForDataSet接口存在SQL注入漏洞,未经身份认证的攻击者可以通过此漏洞获取数据库敏感信息,用户名密码等凭据,进一步利用可获取服务器权限。
【漏洞复现】易宝OA GetProductInv接口存在SQL注入漏洞
失心少年
04-07 159
技术文章仅供参考,任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得利用网络从事危害国家安全、荣誉和利益,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他!易宝OA是一款功能非常强大的办公软件。用户通过软件里可以轻松的进行移动办公,功能非常的丰富,可以满足用户的各种办公需求,让你的办公效率有了有效的提高,通过软件里可以轻松的解决用户的各种办公事项。
详细讲解hive on tez中各个参数作用,以及如何优化sql
cclovezbf的博客
09-05 790
最近经常有优化sql的任务,但是自己能力有限,只能凭经验去优化,现整理加学习一波,也欢迎各位学习和讨论。我们经常用hivesql 的模型就是 join.如下。这里面发生了什么,执行流程是什么,为什么有的insert要几十分钟有的只要几分钟。--造1000w条数据 文件大小为300M已知上面的数据为1000w条其中 id=1的有1000条 其余id=1000到1000w的依次分布。
SQL 代表什么?SQL 的全称是什么?
最新发布
程序员学习园地。
09-09 647
创建表修改表删除表。
被低估的SQL
weixin_61431494的博客
09-03 1380
虽然SQL的核心功能强大,但自定义函数和存储过程常常被低估。它们可以封装复杂的业务逻辑,从而提高数据库操作的效率和一致性。存储过程不仅可以接收参数,还能执行多条SQL语句,并理事务。ASBEGIN-- 可能的其他初始化操作END;这种封装能够保证操作的原子性,同时提升了数据库应用的性能和安全性。
深入解析Flink SQL:基本概念与高级应用
GZM888888的博客
09-09 246
Flink SQL作为Flink的重要组成部分,提供了一种声明式的语法,使得开发者能够更加便捷地理无界和有界数据流。未来,随着Flink生态的不断完善,Flink SQL将在更多场景下发挥其优势,成为大数据理的核心技术之一。Flink SQL是基于Apache Flink的分布式数据理引擎,它扩展了传统的SQL语义,以支持流式数据理和批理。与传统的关系型数据库中的SQL不同,Flink SQL设计用于理高速、连续的数据流,并且支持事件时间理和乱序数据的理。二、Flink SQL的核心特性。
【Mysql】系统服务启动访问报错问题理:this is incompatible with sql_mode=only_full_group_by
Alex的博客
09-05 839
which is not functionally dependent on columns in GROUP BY clause; this is incompatible with sql_mode=only_full_group。通过对问题的查找分析,查看官方文档发现从 MySQL 5.7.5 开始,默认 SQL 模式包括 ONLY_FULL_GROUP_BY。 (在 5.7.5 之前,MySQL 不检测函数依赖,并且默认不启用 ONLY_FULL_GROUP_BY。)这可能会导致一些sql语句失效
小记XML写sql的聚合函数用法
2301_76162638的博客
09-09 186
手动查出需要用于查询、展示的字段用法:(需要GROUP BY) 将每个岗位下的姓名合并为一个以逗号分隔的字符串的结果有长度限制,默认情况下是 1024 个字符,可以通过调整系统变量来增加这个限制。
SQL通用语法、SQL分类以及DDL
weixin_60564529的博客
09-03 1002
SQL通用语法、SQL分类以及DDL的基础讲解
以下是一些 SQL 优化的方法:
qq_20033739的博客
09-09 299
例如,避免“WHERE DATE(column_name) = '2024-09-09'”,而应该使用“WHERE column_name >= '2024-09-09' AND column_name < '2024-09-10'”。- 例如,如果在表 A 的“column_a”列和表 B 的“column_b”列上进行连接,应该在这两个列上创建索引。- 索引可以大大提高查询的速度,但过多的索引也会影响数据的插入、更新和删除操作,因此需要权衡。- 根据实际需求选择合适的连接方式,避免不必要的全连接。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值