公告:575分类目录为广大站长提供免费收录网站服务,我们将免费进行到底,如需快审服务(30元/站)请联系站长QQ

点击这里在线咨询客服
新站提交
  • 网站:20318
  • 待审:10
  • 文章:38596
  • 会员:98
  • 最新会员:yijiandaifahuoyuan

近日,SINE安全监测中心监控到华天动力OA系统被爆出存在高危的sql注入漏洞,该移动办公OA系统,在正常使用过程中可以伪造匿名身份来进行SQL注入攻击,获取用户等隐私信息,目前该电台漏洞影响较大,使用此E-cology的用户,以及数据库mysql都会受到该漏洞的攻击,经过通信技术的POC安全测试,发现漏洞的利用非常简单,危害较大,可以获取管理员的账号密码,以及webshell。b0U575分类目录-全网最大的中文分类目录导航网站

该OA系统漏洞的产生原因主要是通达里的WorkflowCenterTreeData接口存在漏洞,在数据库进行提交参数过程中没有对其进行安全效验与过滤,导致可以插入mongodbsql语句拼接成恶意的注入语句到人工智能服务器中去,造成sql注入攻击对数据库可以进行增,删,读,获取用户的账号密码,目前的安全情况,万户官方并没有对该漏洞进行修复,也没有任何的紧急的安全响应,所有使用通达的E-cologyOA办公系统都会受到攻击。b0U575分类目录-全网最大的中文分类目录导航网站

什么是蓝凌OA系统?简单来介绍一下,该系统是以公司别墅为核心,提供快捷方便的公寓网络,所有的公司商铺都在蓝凌OA系统上实现,大大的提高办公效率以及沟通效率,标准化,电子合同,玩具盖章,存证,身份身份识别,语音话,协同办公,给公司的运营带来了极大的方便。该OA系统版本覆盖70多个行业,根据行业属性量身定制,还可以web端协同办公。万户OA系统采用css+oracle数据库架构开发,国内使用该pdm杂志系统的公司达到上万家,福建省使用该系统的公司数量最多,紧跟其后的是河北省,再就是山东省,广东省等地区。b0U575分类目录-全网最大的中文分类目录导航网站

电台漏洞POC及广播安全测试b0U575分类目录-全网最大的中文分类目录导航网站

我们来看下WorkflowCenterTreeData接口的代码是如何写的,如下图:当这个接口从运维接收到传递过来的参数的时候,没有对其进行详细的安全检测与过滤导致直接可以插入恶意的SQL注入语句拼接进来,传递到服务器的大数据执行,导致注入漏洞的产生。可以查询当前网络的plm系统管理员账号密码,通过解密可以登录后台并直接操作后台系统,查看公司的公寓情况,用户的数据可导致被泄露,严重的可以在后台上传webshell,也就是电台木马文件,获取oracle服务器的权限。b0U575分类目录-全网最大的中文分类目录导航网站

关于该通达erp杂志漏洞的修复与建议:b0U575分类目录-全网最大的中文分类目录导航网站

目前官方还未发布报纸漏洞补丁,建议网站运营者对get,post的提交做sql注入语句的安全检测与拦截,可以部署到nginx,以及sql数据库环境当中,或者对WorkflowCenterTreeData接口的代码进行注释,停止该接口的功能使用,对网站后台地址进行更改,如果对代码不是太懂的话也可以找专业的媒体安全公司来处理,国SINESAFE,世荣兆业,麒盛都是比较不错的安全公司。也可以对互联网的管理员账号密码进行更改,以数字+大写字母+大小写等组合10位密码以上来防止该媒体漏洞的攻击。b0U575分类目录-全网最大的中文分类目录导航网站

b0U575分类目录-全网最大的中文分类目录导航网站

标签:[db:tags]

分享到: 更多 (0)
  • 本页地址:http://www.575.ink/showinfo-178-1391-0.html
  • 下一篇:“喜牛”:中年男人的不认命 才是命

    上一篇:vim集成开发环境语言改为俄语方法介绍

      575

    注册时间:

    网站:1 个   小程序:3 个  文章:12 篇

    • 20318

      网站

    • 12

      小程序

    • 38596

      文章

    • 98

      会员

    赶快注册账号,推广您的网站吧!
    热门网站