首页 > 数据库 >【漏洞复现】畅捷通T+ KeyInfoList.aspx SQL注入漏洞

【漏洞复现】畅捷通T+ KeyInfoList.aspx SQL注入漏洞

时间:2024-04-06 19:04:43浏览次数:25  
标签:20 圈子 SQL 漏洞 文章 KeyInfoList 捷通

                     免责声明:文章来源互联网收集整理,请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。

                                                                                                                                              

Ⅰ、漏洞描述

T+是用友畅捷通推出的一款新型互联网企业管理系统,T+能够满足成长型小微企业对其灵活业务流程的管控需求,重点解决往来业务管理、订单跟踪、资金、库存等管理难题。用户可以通过各种固定或移动设备随时随地迅速获取企业实时、动态的运营信息。

畅捷通T+KeyInfoList.aspx接口处存在SQL注入漏洞 ,恶意攻击者可能会利用该漏洞获取服务器敏感信息,最终可能导致服务器失陷。

Ⅱ、fofa语句

app="畅捷通-TPlus"

Ⅲ、漏洞复现

1、构建数据包,执行SQL命令

Ⅳ、Nuclei-POC

Ⅴ、修复建议

1、使用参数化查询或存储过程来执行 SQL 查询,以防止注入攻击;

2、及时应用安全更新和补丁,以修复任何已发现的漏洞。

漏洞详情及批量检测POC请前往圈子获取 

 圈子名称:ONEPIECE

 

限时优惠券:入圈立减20

圈子福利:每天更新最新漏洞情报1~2篇不等,不定时发放现金红包10-30元不等。

 立减20

 

交流群 

 

标签:20,圈子,SQL,漏洞,文章,KeyInfoList,捷通
From: https://blog.csdn.net/weixin_52204925/article/details/137435077

相关文章

  • MySQL中的逻辑运算符,位运算符
    转自:https://blog.csdn.net/Sihang_Xie/article/details/125480206一、 逻辑运算符MySQL中支持4种逻辑运算符:运算符作用NOT或!逻辑非AND或&&逻辑与OR或||逻辑或XOR逻辑异或以上4种逻辑运算符都非常简单,如果有其他编程语言的基础,看一下以下的例......
  • 【包远程安装运行】SpringBoot+Mysql实现的在线兼职实习招聘管理系统源码+运行教程+开
    今天发布的是由【猿来入此】的优秀学员独立做的一个基于springboot脚手架的在线招聘系统,主要实现了在线招聘基本操作流程的全部功能,系统分普通用户、管理员等角色,除基础脚手架外,实现的功能有:管理员:系统管理、职位管理、新闻咨询管理、简历投递管理、在线统计等。普通用户(......
  • 【包远程安装运行】:SpringBoot+Mysql健身房在线预约管理系统源码+运行视频+开发文档(参
    今天发布的是由【猿来入此】的优秀学员独立做的一个基于springboot脚手架的健身房在线预约管理系统,系统分四个角色,管理员,职工、教练、前台用户,各角色功能如下:管理员:系统管理(角色、权限、菜单等)、职工管理、健身会员管理、会员充值管理、健身项目管理、健身百科管理、健身......
  • 5种Race Conditions条件竞争漏洞,你的网站中了哪一个?
    Raceconditions(条件竞速)为常见的漏洞,与业务逻辑缺陷有密切关系。当网站在没有足够保护措施的情况下同时处理请求时,就会发生这种情况。这可能会导致多个不同的执行绪同时互相影响而导致冲突,使应用程式中出现意外行为。常见的攻击方法如下饶过只限一次的申请饶过爆力破解密......
  • 基于SSM+Jsp+Mysql的个性化影片推荐系统
    开发语言:Java框架:ssm技术:JSPJDK版本:JDK1.8服务器:tomcat7数据库:mysql5.7(一定要5.7版本)数据库工具:Navicat11开发软件:eclipse/myeclipse/ideaMaven包:Maven3.3.9系统展示系统首页用户注册用户登录热门电影个人中心我的收藏新闻资讯管理员登录管理员首页用户管......
  • 使用Python插入100万条数据到MySQL数据库并将数据逐步写出到多个Excel
    Python插入100万条数据到MySQL数据库步骤一:导入所需模块和库首先,我们需要导入MySQL连接器模块和Faker模块。MySQL连接器模块用于连接到MySQL数据库,而Faker模块用于生成虚假数据。importmysql.connector#导入MySQL连接器模块fromfakerimportFaker#导入......
  • 阿里云安装Mysql数据库
    阿里云安装mysql数据库安装数据库&创建数据库用户参照以下步骤在Linux实例中安装MySQL数据库新建数据库实例上述文章止步于新建数据库用户,下面是心间数据库实例的操作。mysql-ulhkTest-p登陆mysql(lhkTest是用户名)showdatabases;查询已有数据库createdatabasehome_......
  • mysql小结
    distinct:去重复值......
  • 【附源码】JAVA计算机毕业设计足球青训俱乐部管理后台系统(springboot+mysql+开题+论文
    本系统(程序+源码)带文档lw万字以上 文末可获取一份本项目的java源码和数据库参考。系统程序文件列表开题报告内容研究背景随着足球运动的日益普及,足球青训作为培养足球后备人才的重要基地,其管理和发展逐渐受到广泛关注。然而,传统的青训俱乐部管理方式往往存在着信息化程度......
  • 【附源码】JAVA计算机毕业设计足球管理系统的设计与实现(springboot+mysql+开题+论文)
    本系统(程序+源码)带文档lw万字以上 文末可获取一份本项目的java源码和数据库参考。系统程序文件列表开题报告内容研究背景随着足球运动的普及和发展,越来越多的球迷、球员、俱乐部和组织参与到这项运动中。然而,传统的足球管理方式往往存在效率低下、信息不透明、管理不规范......