紫光电子档案管理系统存在SQL注入漏洞(漏洞复现)

已于 2023-09-06 19:02:50 修改
阅读量519 收藏
点赞数
分类专栏: 漏洞复现 文章标签: 系统安全 网络安全 web安全 安全
于 2023-09-06 14:13:01 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_48539059/article/details/132713340
版权

文章目录

紫光电子档案管理系统存在SQL注入漏洞(漏洞复现)

0x01 前言

本次测试仅供学习使用,如若非法他用,与本文作者无关,需自行负责!!!

0x02 漏洞描述

紫光软件系统有限公司(以下简称“紫光软件”)是中国领先的行业解决方案和IT服务提供商。 紫光电子档案管理系统存在SQL注入漏洞。攻击者可利用漏洞获取数据库敏感信息。
在这里插入图片描述

0x03 影响范围

紫光电子档案管理系统

0x04 漏洞环境

fofa:“紫光档案管理系统”
在这里插入图片描述

0x05 漏洞复现

1.访问漏洞环境

在这里插入图片描述

2.构造POC</

了解本专栏 订阅专栏 解锁全文 超级会员免费看
gaynell
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
漏洞复现光电子档案管理系统存在SQL注入
失心少年
09-07 363
技术文章仅供参考,任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得利用网络从事危害国家安全、荣誉和利益,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他!fofa:app=“档案管理系统”过滤不严格导致sql注入
光电子档案管理系统upload任意文件上传漏洞
weixin_43567873的博客
03-05 93
光电子档案管理系统upload任意文件上传漏洞
档案管理系统 editPass.html SQL注入漏洞 CNVD-2021-41638
weixin_46801402的博客
11-23 941
档案管理系统 editPass.html SQL注入漏洞 CNVD-2021-41638
记某市某管理系统SQL注入漏洞
AD_CSY的博客
06-03 369
前言 近日在谷歌引擎查找到一个站点。是某市的某报到系统。漏洞已经上报CNVD,这里就当是记录分享了。 过程记录 1.进来是一个管理员登陆入口,进去了之后尝试用一些弱口令进行登录。无果,这里就暂时放弃暴力破解。尝试寻找其他突破口。 2.进入网站的主界面,有一处查询框。一般这样的搜索查询框可能会有SQL注入。 3.尝试能不能进行SQL注入。直接随便输入,然后在后面加上单引号进行验证。果然不出所料报错了,报错信息可以看出是access数据库,真让人头大。 4.由于url上没有明确显示可以注入的参数,怀疑可能
档案-政府档案馆解决方案
u014482212的专栏
04-01 1315
近年来,各级政府档案局(馆)正通过信息化手段逐步改变传统的档案管理模式。按照档案馆“五位一体”的功能定位,档案在多年数字档案馆建设成功经验的基础上,参考了开放档案信息系统(OAIS)模型,遵循国内最新的标准规范,利用当前最先进的信息技术,推出了专业、成熟的综合档案馆解决方案,以加速推进政府档案档案资源数字化、信息管理标准化、信息服务网络化的进程。 档案以文件生命周期理论以及文件连续体理
国电南宁借助档案统一归档数据管理平台
u014482212的专栏
01-15 1284
国电南宁发电有限责任公司(简称:国电南宁电厂)处于广西电网负荷中心,是南方电网“西电东送”主网架提供电源支撑,是广西节能、降耗、减排的示范工程。国电南宁电厂早在2011年即应用光电子档案管理系统开展工程档案数字化管理,助力项目达标验收。         随着企业信息化建设的不断推进,数字化国电南宁电厂已初具规模。为有效收集各业务系统产生的电子档案信息,解决各业务系统信息孤岛问题,强化档案管理
SQL注入漏洞全接触.ppt
11-15
* 根据不同的数据库管理系统SQL注入漏洞可以分为Access注入、SQL Server注入、MySQL注入等。 * 不同的数据库管理系统有不同的函数、注入方法,所以在注入之前,我们还要判断一下数据库的类型。 四、 SQL注入漏洞...
通达OA sql注入漏洞.zip
08-24
然而,就像许多其他复杂的软件系统一样,它可能存在安全漏洞,其中之一就是SQL注入漏洞SQL注入网络安全中的一个常见问题,允许攻击者通过在输入字段中插入恶意SQL代码来操纵数据库,获取敏感信息,甚至完全控制...
基于WebSQL注入漏洞扫描系统的设计研究
01-13
对于现代SQL注入检测大部分都是将语法分析策略为基础,但是此种策略检测的效率较低,并且还存在漏洞扫描不完善的问题,实现基于WebSQL注入漏洞扫描系统的设计。对SQL注入漏洞给相应检测及防御技术进行研究,通过...
SQL注入漏洞发现和数据库监控系统.zip
05-27
1. **漏洞扫描**:使用自动化工具,如Nessus、OpenVAS等,对目标系统进行网络扫描,查找可能存在SQL注入漏洞。 2. **手工测试**:对扫描结果进行确认,通过构造特定的输入尝试触发异常响应,如错误信息、数据泄露...
某购物商城系统commodtiy接口处存在任意文件上传漏洞
weixin_43167326的博客
05-10 760
某购物商城系统commodtiy接口处存在任意文件上传漏洞,恶意攻击者可以上传恶意软件,例如后门、木马或勒索软件,以获取对服务器的远程访问权限或者破坏系统,对服务器造成极大的安全隐患。
【代码审计】iZhanCMS_v2.1 后台存在多个SQL注入漏洞分析
12-03 652
  0x00 环境准备 iZhanCMS官网:http://www.izhancms.com 网站源码版本:爱站CMS(zend6.0) V2.1 程序源码下载:http://www.izhancms.com/category/Category/index/cid/1 默认后台:http://127.0.0.1/admin/admin/index 默认用户名:admin  密...
记某管理系统弱口令及SQL注入漏洞
AD_CSY的博客
06-01 834
前言 此次演练来源于使用谷歌搜索引擎偶然得到的站点。 漏洞已上报CNVD,全程打码。本人萌新一枚,大佬勿喷。 实战过程 1.谷歌语法“inurl:manager”,找到此站点。 2.尝试使用一些常用的弱口令进行登录,无果。“忘记密码”处也没有利用的地方。尝试新用户激活。这里是尝试注册/激活awbb这个账号。 3.但是却显示awbb这个账号已经激活了,表示此账号存在,尝试暴力破解。 4.这里程序员的锅,哈哈哈。直接尝试了一下awbb/XXXXXX,成功进入后台。 5.登入后台之后,尝试继续寻找其他突破
档案-企业档案管理中国十大问题分析
u014482212的专栏
04-01 1246
在日常工作中,我们经常会遇到硬盘破损、数据丢失、机密外泄、信息检索困难、文件损坏、文档版本多样、编号混乱、信息共享滞后、流程繁冗、操作历史不清等一系列情况,这些问题往往会造成时间浪费,沟通困难、安全隐患,导致企业管理困难、利润减少、纸张资源成本居高与工作进度的拖延,影响企业的良性发展,被誉为企业文档管理中的“十大杀手”。 一、信息刽子手: 企业文档资料分散存储在几十台甚至成百上千台电脑中,
Linux系统安全加固:无需WAF也能有效防御黑客攻击
@云安全小杜
07-02 859
Web应用防火墙(WAF)是现代网络安全架构中的重要组成部分,用于保护Web应用程序免受各种攻击。然而,对于基于Linux的服务器,即使没有部署WAF,通过合理的配置和策略,依然能够构建起坚固的防线。本文将探讨在没有WAF的情况下,如何通过Linux系统自身的安全机制和一些开源工具,实现对黑客攻击的有效防御。
WAF基础介绍
最新发布
weixin_68864415的博客
07-13 506
WAF可以检测Web应用程序中的各种攻击,例如SQL注入、跨站点脚本攻击(XSS)、跨站请求伪造(CSRF)等,并采取相应的措施,例如拦截请求、阻止访问、记录事件等。日志记录:WAF记录所有请求和响应的详细信息,包括请求头、请求体、响应头、响应体等。攻击响应:WAF根据检测结果采取相应的措施,例如拦截请求、阻止访问、记录事件等。WAF可以检查请求头、请求体、Cookie、URL参数等信息,并识别其中的攻击。4、黑名单规则检查:注入攻击检查、跨站攻击检查、Webshell检查、中间件漏洞检查。
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8332
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
时空智友企业信息管理系统 sql注入漏洞
09-20
时空智友企业信息管理系统是一种企业级的信息管理系统,它用于帮助企业管理各种业务数据和信息。然而,该系统存在SQL注入漏洞,这可能导致安全风险和数据泄露。 SQL注入是一种针对Web应用程序的常见安全威胁。它发生在应用程序未能正确过滤用户输入的情况下。攻击者可以通过构建恶意的SQL查询,利用这个漏洞来执行未授权的数据库操作,甚至是获取未经授权的敏感数据。 针对时空智友企业信息管理系统SQL注入漏洞,我们需要采取以下措施来修复和防止此安全风险的发生: 1. 安全评估和漏洞扫描:对系统进行全面的安全评估,包括检查SQL注入漏洞。使用漏洞扫描工具定期扫描系统以及及时修复和更新漏洞。 2. 输入验证与过滤:所有用户输入数据都必须进行验证和过滤,以防止恶意用户输入带有特殊字符的SQL查询。可以使用参数化查询或预编译语句来减少SQL注入的风险。 3. 最小化权限:将数据库的权限设置为最小化,限制访问数据库的用户只能执行必要的操作,减少攻击者利用注入漏洞的可能性。 4. 错误和异常处理:在系统中实施安全的错误和异常处理机制,不向用户显示详细的错误信息,以防止攻击者了解系统结构和敏感信息。 5. 定期更新和维护:及时安装和应用官方发布的系统和数据库的补丁和更新,以修复已知的漏洞。 通过以上措施,时空智友企业信息管理系统SQL注入漏洞可以被修复和预防,保护系统和企业的数据安全

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

gaynell

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值