全程OA办公系统无需登录两处注入漏洞影响众多企业 无需登录,如果要登录,那就没有任何意义~~
危害性很大,用户量很多,首页走起
全程OA办公系统无需登录两处注入漏洞影响众多企业
无需登录,如果要登录,那就没有任何意义~~
危害性很大,用户量很多,首页走起
官方案例巨多;涉及各个行业:
https://**.**.**.**/Case/Default.aspx
等等…..
SQL注入点:
第一处:/login.aspx?test=TestSystem&password=24om&oid=1&uid= 这里的oid参数存在显错模式注入 第二处:登录框的机构选项中“hidOrg”参数存在报错模式注入 这种OA系统的关键字太特么难找了。我就只能列举一部分了:
第一处:
手工结果:
sqlmap结果:
第二处注入:
登录页面,审查机构的元素; 找到这行,将value="2" 改成 value="2 and user>0–" 就可以直接爆出user了。sqlmap就需要抓表单来进行跑了~
https://www.dengb.com/qyaq/1095318.htmlwww.dengb.comtruehttps://www.dengb.com/qyaq/1095318.htmlTechArticle全程OA办公系统无需登录两处注入漏洞影响众多企业 无需登录,如果要登录,那就没有任何意义~~ 危害性很大,用户量很多,首页走起 官方…
—-想了解更多的企业安全相关处理怎么解决关注<计算机技术网(www.ctvol.com)!!>
本文来自网络收集,不代表计算机技术网立场,如涉及侵权请联系管理员删除。
ctvol管理联系方式QQ:251552304
本文章地址:https://www.ctvol.com/webstt/esecurity/100193.html