xiaochuhe--kaishui
首届“盘古石杯”全国电子数据取证大赛创新作品赛全国总冠军,补天漏洞响应平台风云白帽战神榜榜单总榜第三,360众测优秀白帽子。
展开
-
【1day】用友多个接口存在xxe漏洞(大量存在)
用友是一家专业的企业软件服务商,提供全面的企业管理软件和解决方案,包括财务、人力资源、供应链、生产制造等多个领域。某友系统作为其核心产品之一,是一款集成度高、功能全面的企业管理软件,可帮助企业实现全面的业务管理和智能化决策,提升企业运营效率、降低成本、增强竞争力。过滤用户输入:在接受 XML 数据输入的地方,对用户提交的 XML 进行严格的输入验证和过滤,去除或转义潜在的恶意实体。禁用外部实体:在 XML 解析器中禁用外部实体的加载,例如在 Java 中可以通过设置解析器的特性来禁用外部实体加载。原创 2023-12-28 19:52:10 · 920 阅读 · 3 评论 -
【1day】万户协同办公平台 iSignatureHTML.jsp/DocumentEdit.jsp 文件SQL注入漏洞学习
万户协同办公平台是一款企业级的协同办公软件,旨在帮助企业提高工作效率和协同能力。该平台提供了多种功能模块,包括日程管理、任务管理、文档管理、邮件管理、审批流程等,支持多人协同操作和实时沟通。万户协同办公平台iSignatureHTML.jsp/DocumentEdit.jsp 文件存在SQL注入漏洞,攻击者通过在Web应用程序的输入字段中注入恶意的SQL代码,从而在后台数据库中执行未经授权的操作。原创 2023-12-12 23:34:22 · 978 阅读 · 7 评论 -
【1day】万户协同办公平台 iWebPDF/DocumentEdit.jsp文件 SQL注入漏洞学习
万户协同办公平台是一款企业级的协同办公软件,旨在帮助企业提高工作效率和协同能力。该平台提供了多种功能模块,包括日程管理、任务管理、文档管理、邮件管理、审批流程等,支持多人协同操作和实时沟通。万户协同办公平台iWebPDF/DocumentEdit.jsp文件存在SQL注入漏洞,攻击者通过在Web应用程序的输入字段中注入恶意的SQL代码,从而在后台数据库中执行未经授权的操作。原创 2023-12-12 23:27:48 · 629 阅读 · 0 评论 -
【1day】Panabit 日志系统sy_addmount.php文件命令执行漏洞学习
Panalog是一款日志系统,方便用户统一集中监控、管理在网的海量设备。Panabit 日志系统sy_addmount.php文件存在命令执行漏洞,攻击者通过漏洞可以执行任意命令获取服务器权限。原创 2023-12-11 01:10:55 · 592 阅读 · 0 评论 -
【1day】万户协同办公平台 convertFile 任意文件读取漏洞学习
万户协同办公平台是一款企业级的协同办公软件,旨在帮助企业提高工作效率和协同能力。该平台提供了多种功能模块,包括日程管理、任务管理、文档管理、邮件管理、审批流程等,支持多人协同操作和实时沟通。万户协同办公平台convertFile 文件存在任意文件读取漏洞,攻击者可以在未经授权的情况读取系统上的任意文件。原创 2023-12-09 00:30:25 · 762 阅读 · 6 评论 -
【1day】致远系统A6版本operaFileActionController.jsp接口任意文件读取漏洞学习
致远A6系统是一种企业级办公自动化软件解决方案,由中国的软件公司致远信息开发。它提供了一系列功能和模块,用于协助企业管理和优化办公流程。致远系统A6版本operaFileActionController.jsp接口存在任意文件读取漏洞,攻击者可以在未经授权的情况读取系统上的任意文件。原创 2023-12-09 00:06:33 · 785 阅读 · 0 评论 -
【1day】泛微e-office OA系统UserSelect接口SQL 注入漏洞学习
泛微e-office OA是一种企业级办公自动化(Office Automation)解决方案,由中国的泛微软件(FANWEI)开发和提供。它是一套集成办公、流程管理、协同办公、知识管理等功能于一体的全面办公平台。泛微e-office OA系统UserSelect接口存在SQL 注入漏洞,攻击者通过在Web应用程序的输入字段中注入恶意的SQL代码,从而在后台数据库中执行未经授权的操作。原创 2023-12-08 23:38:25 · 670 阅读 · 0 评论 -
【1day】泛微e-office OA系统sms_page.php接口SQL 注入漏洞学习
泛微e-office OA是一种企业级办公自动化(Office Automation)解决方案,由中国的泛微软件(FANWEI)开发和提供。它是一套集成办公、流程管理、协同办公、知识管理等功能于一体的全面办公平台。泛微e-office OA系统sms_page.php接口存在SQL 注入漏洞,攻击者通过在Web应用程序的输入字段中注入恶意的SQL代码,从而在后台数据库中执行未经授权的操作。原创 2023-12-08 23:34:45 · 644 阅读 · 0 评论 -
【1day】泛微e-office OA系统xml.php 文件 SORT_ID 参数 SQL 注入漏洞学习
泛微e-office OA是一种企业级办公自动化(Office Automation)解决方案,由中国的泛微软件(FANWEI)开发和提供。它是一套集成办公、流程管理、协同办公、知识管理等功能于一体的全面办公平台。泛微e-office OA系统xml.php 文件SORT_ID 参数存在SQL 注入漏洞,攻击者通过在Web应用程序的输入字段中注入恶意的SQL代码,从而在后台数据库中执行未经授权的操作。原创 2023-12-08 23:16:24 · 757 阅读 · 0 评论 -
【1day】DocCms 某接口SQL注入漏洞学习
DocCMS(稻壳企业建站系统),又名稻壳cms、doccms,前身源于深喉咙企业建站系统ShlCms,是一款免费开源企业网站建设系统、企业网站生成系统。1、使用参数化查询或预编译语句,避免直接拼接用户输入的数据到SQL查询语句中。通过使用参数化查询或预编译语句,确保用户输入的数据不被直接解释为SQL代码。3、限制数据库用户的权限,避免普通用户具有执行敏感操作的权限。确保数据库用户只拥有最小必需的权限,限制潜在的注入攻击影响范围。对于不符合预期的输入,进行错误处理或拒绝操作,避免恶意注入攻击。原创 2023-12-07 21:16:57 · 521 阅读 · 2 评论 -
【1day】蓝凌OA 某接口敏感信息泄露漏洞学习
蓝凌OA 系统某接口存在敏感信息泄露漏洞,攻击者通过漏洞可以获取到大量用户的信息,包括姓名、性别、手机号等信息。通过实施日志记录、审计和监控机制,监控系统和应用程序的访问、操作和事件,及时发现异常行为和潜在的信息泄露风险。4、教育和培训员工有关信息安全的最佳实践,增强他们对信息保护的意识和责任感。提供培训和指导,教育员工如何正确处理和保护敏感信息,减少信息泄露的风险。对敏感信息进行加密存储和传输,确保数据在存储和传输过程中的安全性。只授权合法用户访问敏感信息,并限制敏感信息的传输和复制。原创 2023-12-07 20:58:40 · 636 阅读 · 1 评论 -
【1day】金和OA某接口存在未授权访问漏洞
软件,旨在提供高效的办公流程管理和协作解决方案。它提供了一系列功能和工具,帮助企业实现办公自动化、信息共享和团队协作。金和OA存在未授权访问漏洞,攻击者可以通过某种方式绕过身份验证机制,直接访问应用程序或系统的敏感资源或功能,从而获取敏感信息或进行恶意操作的一种漏洞。金和OA是一款企业级。原创 2023-12-07 20:39:09 · 753 阅读 · 0 评论 -
【1day】蓝凌OA 系统custom.jsp 接口任意文件读取漏洞学习
蓝凌OA系统是一套企业级办公自动化软件解决方案。蓝凌OA系统提供了一系列功能模块,帮助企业实现高效的办公管理和协同工作。蓝凌OA 系统custom.jsp 接口存在任意文件读取漏洞,,攻击者通过漏洞可读取服务器中任意文件。原创 2023-12-05 22:19:37 · 572 阅读 · 0 评论 -
【1day】蓝凌OA 系统custom.jsp 接口远程命令执行漏洞学习
蓝凌OA系统是一套企业级办公自动化软件解决方案。蓝凌OA系统提供了一系列功能模块,帮助企业实现高效的办公管理和协同工作。蓝凌OA 系统custom.jsp 接口存在远程命令执行漏洞,攻击者通过漏洞可以执行任意命令获取服务器权限。原创 2023-12-05 21:48:14 · 562 阅读 · 0 评论 -
【1day】蓝凌OA 系统datajson.js接口远程命令执行漏洞学习
凌OA系统是一套企业级办公自动化软件解决方案。蓝凌OA系统提供了一系列功能模块,帮助企业实现高效的办公管理和协同工作。蓝凌OA 系统datajson.js接口存在远程命令执行漏洞,攻击者通过漏洞可以执行任意命令获取服务器权限。原创 2023-12-05 21:35:07 · 713 阅读 · 0 评论 -
【1day】用友 U8 Cloud系统TaskTreeQuery接口SQL注入漏洞学习
用友U8 Cloud是中国企业软件公司用友软件推出的一款云端企业管理软件解决方案。它基于云计算和大数据技术,为企业提供全面的企业管理功能和服务。用友 U8 Cloud系统TaskTreeQuery接口存在SQL注入漏洞,攻击者通过在Web应用程序的输入字段中注入恶意的SQL代码,从而在后台数据库中执行未经授权的操作。原创 2023-12-05 21:09:33 · 659 阅读 · 0 评论 -
【1day】用友 U8 Cloud系统upload.jsp接口任意文件上传漏洞学习
用友U8 Cloud是中国企业软件公司用友软件推出的一款云端企业管理软件解决方案。它基于云计算和大数据技术,为企业提供全面的企业管理功能和服务。用友 U8 Cloud系统upload.jsp接口存在任意文件上传漏洞,攻击者通过上传恶意文件,从而在Web服务器上执行未经授权的操作。原创 2023-12-05 20:58:42 · 461 阅读 · 0 评论 -
【1day】致远 A8系统getAjaxDataServlet-xxe接口任意文件读取学习
致远 A8+ OA(Office Automation)是由中国致远软件开发的一套综合性办公自动化软件解决方案,Office Automation基于B/S架构(浏览器/服务器架构)的企业级应用软件,旨在帮助企业实现高效的办公管理和信息化建设。致远 A8系统getAjaxDataServlet-xxe接口存在任意文件读取漏洞,攻击者通过漏洞可以获取服务器中敏感文件。原创 2023-12-05 20:38:34 · 1234 阅读 · 0 评论 -
【1day】致远系统A6版本任意文件下载漏洞学习
致远A6系统是一种企业级办公自动化软件解决方案,由中国的软件公司致远信息开发。它提供了一系列功能和模块,用于协助企业管理和优化办公流程。致远A6系统存在任意文件下载漏洞,,攻击者可以在未经授权的情况下载系统上的任意文件。原创 2023-12-05 20:22:48 · 483 阅读 · 0 评论 -
【1day】致远 A8+ OA wpsAssistServlet任意文件读取漏洞学习
致远 A8+ OA(Office Automation)是由中国致远软件开发的一套综合性办公自动化软件解决方案,Office Automation基于B/S架构(浏览器/服务器架构)的企业级应用软件,旨在帮助企业实现高效的办公管理和信息化建设。致远 A8+ OA wpsAssistServlet接口存在任意文件读取漏洞,攻击者通过漏洞可以获取服务器中敏感文件。原创 2023-12-02 16:55:58 · 743 阅读 · 0 评论 -
【1day】华天软件 OAworkFlowService接口SQL注入漏洞学习
华天软件 OA(Office Automation)是华天软件公司开发的一套办公自动化软件解决方案。它旨在帮助企业提高工作效率、优化流程管理,并实现信息化办公;华天软件 OAworkFlowService接口存在接口SQL注入漏洞,攻击者通过在Web应用程序的输入字段中注入恶意的SQL代码,从而在后台数据库中执行未经授权的操作。原创 2023-12-02 16:39:58 · 541 阅读 · 0 评论 -
【1day】华天软件 OA ntkodownload接口任意文件读取学习
华天软件 OA(Office Automation)是华天软件公司开发的一套办公自动化软件解决方案。它旨在帮助企业提高工作效率、优化流程管理,并实现信息化办公;华天软件 OA ntkodownload接口存在任意文件读取漏洞,攻击者通过漏洞可以获取服务器中敏感文件。原创 2023-12-02 16:09:57 · 555 阅读 · 0 评论 -
【1day】泛微e-office OA系统user_page接口未授权访问漏洞学习
泛微e-office OA是一种企业级办公自动化(Office Automation)解决方案,由中国的泛微软件(FANWEI)开发和提供。它是一套集成办公、流程管理、协同办公、知识管理等功能于一体的全面办公平台。泛微e-office OA存在user_page接口未授权访问漏洞,攻击者可以通过某种方式绕过身份验证机制,直接访问应用程序或系统的敏感资源或功能,从而获取敏感信息或进行恶意操作的一种漏洞。原创 2023-11-22 20:35:14 · 299 阅读 · 0 评论 -
【1day】宏景OA get_org_tree.jsp接口SQL注入漏洞学习
宏景OA是一款基于云计算和SaaS模式的企业级办公自动化软件,它为企业提供了全面的办公自动化解决方案,包括协同办公、流程管理、文档管理、知识管理、人力资源管理、客户关系管理等多个模块。它可以帮助企业提高工作效率、降低成本、提高管理水平和企业形象。宏景OA get_org_tree.jsp存在接口SQL注入漏洞,攻击者通过在Web应用程序的输入字段中注入恶意的SQL代码,从而在后台数据库中执行未经授权的操作。原创 2023-11-02 22:03:56 · 418 阅读 · 0 评论 -
【1day】万户协同办公平台 DocumentEdit_unite.jsp接口SQL注入漏洞学习
万户协同办公平台是一款企业级的协同办公软件,旨在帮助企业提高工作效率和协同能力。该平台提供了多种功能模块,包括日程管理、任务管理、文档管理、邮件管理、审批流程等,支持多人协同操作和实时沟通。万户协同办公平台 ezoffice存在SQL注入漏洞,攻击者通过在Web应用程序的输入字段中注入恶意的SQL代码,从而在后台数据库中执行未经授权的操作。原创 2023-10-30 18:48:33 · 443 阅读 · 0 评论 -
【1day】金和协同管理平台c6系统任意文件读取漏洞学习
金和OA是一款企业级办公自动化软件,旨在提供高效的办公流程管理和协作解决方案。它提供了一系列功能和工具,帮助企业实现办公自动化、信息共享和团队协作。金和OA系统存在任意文件读取漏洞,攻击者通过恶意构造的请求下载服务器上的任意文件,包括敏感文件、配置文件、数据库文件等。这种漏洞通常存在于Web应用程序中,是由于不正确的输入验证或不安全的文件处理机制导致。原创 2023-10-25 16:06:31 · 269 阅读 · 0 评论 -
【1day】泛微e-office OA SQL注入漏洞学习
泛微e-office OA是一种企业级办公自动化(Office Automation)解决方案,由中国的泛微软件(FANWEI)开发和提供。它是一套集成办公、流程管理、协同办公、知识管理等功能于一体的全面办公平台。泛微e-office OA存在SQL注入漏洞,攻击者通过在Web应用程序的输入字段中注入恶意的SQL代码,从而在后台数据库中执行未经授权的操作。原创 2023-10-17 19:35:18 · 376 阅读 · 0 评论 -
【0day】泛微e-office OA未授权访问漏洞学习
泛微e-office OA是一种企业级办公自动化(Office Automation)解决方案,由中国的泛微软件(FANWEI)开发和提供。它是一套集成办公、流程管理、协同办公、知识管理等功能于一体的全面办公平台。泛微e-office OA存在未授权访问漏洞,,攻击者可以通过某种方式绕过身份验证机制,直接访问应用程序或系统的敏感资源或功能,从而获取敏感信息或进行恶意操作的一种漏洞。原创 2023-10-17 19:26:35 · 609 阅读 · 0 评论 -
【1day】用友U8Cloud未授权访问漏洞学习
用友U8Cloud是用友软件股份有限公司推出的一款云端企业管理软件。它是基于用友NC平台的云计算解决方案,能够为企业提供全面的业务管理服务。用友U8Cloud存在未授权访问漏洞,攻击者可以通过某种方式绕过身份验证机制,直接访问应用程序或系统的敏感资源或功能,从而获取敏感信息或进行恶意操作的一种漏洞。原创 2023-10-16 00:14:19 · 372 阅读 · 0 评论 -
【0day】用友NC portal接口任意文件读取漏洞学习
Yonyou NC是一款成熟的企业管理软件,已经在国内外众多企业中得到广泛应用。它具有完善的功能、稳定的性能、丰富的经验和优秀的服务,可以帮助企业提高管理效率、降低成本、提升竞争力。用友NC portal接口存在任意文件读取漏洞,攻击者可以在未经授权的情况下读取系统上的任意文件。原创 2023-10-15 23:52:01 · 297 阅读 · 0 评论 -
【1day】用友移动管理系统任意文件上传漏洞学习
用友移动管理系统是用友公司开发的一款移动办公解决方案,旨在帮助企业实现移动办公、移动审批、移动报销等业务流程的管理和处理。该系统提供了一系列移动应用和功能,方便员工随时随地处理工作事务,提高工作效率和响应速度。用友移动管理系统存在任意文件上传漏洞,攻击者通过上传恶意文件,从而在Web服务器上执行未经授权的操作。原创 2023-10-07 20:52:15 · 287 阅读 · 1 评论 -
【1day】用友移动管理系统任意文件读取漏洞学习
用友移动管理系统是用友公司开发的一款移动办公解决方案,旨在帮助企业实现移动办公、移动审批、移动报销等业务流程的管理和处理。该系统提供了一系列移动应用和功能,方便员工随时随地处理工作事务,提高工作效率和响应速度。用友移动管理系统存在任意文件读取漏洞,攻击者可以在未经授权的情况下读取系统上的任意文件。原创 2023-10-07 20:43:31 · 280 阅读 · 0 评论 -
【0day】用友CRM系统目录遍历漏洞学习
用友TurboCRM一直致力于为客户提供架构完整、功能全面、具有良好伸缩性的产品,以支持客户业务的快速变化与成长。产品信息用友TurboCRM产品线由包括支持全面客户接触的TurboCTI和用友TurboLINK,匹配多业务模式和业务管理的用友TurboKEY和用友TurboCRM,支持与ERP等软件无缝联接、整合应用的用友TurboEAI,满足业务决策和商业智能应用用友TurboDSS系统构成。用友TurboCRM存在目录遍历漏洞。原创 2023-10-07 11:43:24 · 345 阅读 · 0 评论 -
【1day】用友GRP-U8 OA slbmbygr.jsp接口SQL注入漏洞学习
用友GRP-U8 OA是一款企业级管理软件,主要面向中小型企业,提供全面的业务管理解决方案,包括财务、人力资源、采购、销售、仓库、生产等多个模块。用友GRP-U8 OA平台slbmbygr.jsp接口存在SQL注入漏洞,攻击者通过在Web应用程序的输入字段中注入恶意的SQL代码,从而在后台数据库中执行未经授权的操作。原创 2023-10-02 22:24:56 · 460 阅读 · 0 评论 -
【1day】用友时空KSOA平台 unitid接口SQL注入漏洞学习
用友时空KSOA平台是由用友网络科技股份有限公司开发的一款企业级协同办公平台,旨在提高企业管理效率和协作效率。该平台提供了多种功能模块,包括组织管理、人力资源管理、工作流管理、知识管理、项目管理、文档管理等。用友时空KSOA平台 unitid接口存在SQL注入漏洞,攻击者通过在Web应用程序的输入字段中注入恶意的SQL代码,从而在后台数据库中执行未经授权的操作。原创 2023-10-02 22:18:20 · 335 阅读 · 0 评论 -
【1day】用友时空KSOA平台 任意文件上传漏洞学习
用友时空KSOA平台是由用友网络科技股份有限公司开发的一款企业级协同办公平台,旨在提高企业管理效率和协作效率。该平台提供了多种功能模块,包括组织管理、人力资源管理、工作流管理、知识管理、项目管理、文档管理等。用友时空KSOA平台存在任意文件上传漏洞,攻击者通过上传恶意文件,从而在Web服务器上执行未经授权的操作。原创 2023-09-29 17:07:08 · 330 阅读 · 1 评论 -
【1day】用友时空KSOA平台 imagefield接口SQL注入漏洞学习
用友时空KSOA平台是由用友网络科技股份有限公司开发的一款企业级协同办公平台,旨在提高企业管理效率和协作效率。该平台提供了多种功能模块,包括组织管理、人力资源管理、工作流管理、知识管理、项目管理、文档管理等。用友时空KSOA平台 imagefield接口存在SQL注入漏洞,攻击者通过在Web应用程序的输入字段中注入恶意的SQL代码,从而在后台数据库中执行未经授权的操作。原创 2023-09-29 16:57:35 · 222 阅读 · 0 评论 -
【1day】用友时空KSOA平台 dept.jsp接口SQL注入漏洞学习
用友时空KSOA平台是由用友网络科技股份有限公司开发的一款企业级协同办公平台,旨在提高企业管理效率和协作效率。该平台提供了多种功能模块,包括组织管理、人力资源管理、工作流管理、知识管理、项目管理、文档管理等。用友时空KSOA平台 imagefield接口存在SQL注入漏洞,攻击者通过在Web应用程序的输入字段中注入恶意的SQL代码,从而在后台数据库中执行未经授权的操作。原创 2023-09-29 16:51:20 · 268 阅读 · 0 评论 -
【0day】用友GRP-U8 任意文件上传漏洞学习
用友GRP-U8 OA是一款企业级管理软件,主要面向中小型企业,提供全面的业务管理解决方案,包括财务、人力资源、采购、销售、仓库、生产等多个模块。攻击者通过上传恶意文件,从而在Web服务器上执行未经授权的操作。原创 2023-09-29 15:59:53 · 178 阅读 · 0 评论 -
【0day】用友GRP-U8 OA bx_historyDataCheck.jsp接口SQL注入漏洞学习
用友GRP-U8 OA是一款企业级管理软件,主要面向中小型企业,提供全面的业务管理解决方案,包括财务、人力资源、采购、销售、仓库、生产等多个模块。攻击者通过在Web应用程序的输入字段中注入恶意的SQL代码,从而在后台数据库中执行未经授权的操作。原创 2023-09-29 15:44:13 · 194 阅读 · 0 评论