泛微oa连接mysql,泛微OA e-cology 数据库接口信息泄露学习
泛微OA e-cology 数据库接口信息泄露
漏洞信息
攻击者可通过存在漏洞的页面直接获取到数据库配置信息。如果攻击者可直接访问数据库,则可直接获取用户数据,甚至可以直接控制数据库服务器;会将当前连接数据库的用户名密码,url,logintype等信息进行des加密,并最终进行返回,可以直接通过des解密获取泄露信息。
本人遇见的情况是可以读取数据库用户名密码
poc
漏洞存在于/mobile/DBconfigReader.jsp
访问该页面会出现DES加密后的乱码,这个页面会将当前连接数据库的用户名密码,url,logintype等信息进行des加密,并最终进行回显到页面,如果用的是默认解密密钥可以直接通过des解密获取泄露信息。
默认解密密钥为:1z2x3c4v5b6n
修复建议
目前泛微官方发布了该漏洞的修补包,可以在官方安全补丁下载地址进行下载更新。
下载地址:
同时推荐用户采取以下安全措施进行进一步防护:
1、限制访问数据库的IP,如果可以的话禁止数据库远程连接。
2、及时安装补丁来修复漏洞,建议企业用户关注泛微官网发布的漏洞修复通知。
3、如果存在此漏洞,修复漏洞后应及时修改数据库账号密码。
参考文章
标签:数据库,OA,漏洞,https,cology,com,泛微
来源: https://www.cnblogs.com/Zh1z3ven/p/13836965.html
泛微oa连接mysql,泛微OA e-cology 数据库接口信息泄露学习相关推荐
- 泛微oa安装mysql,泛微OA某接口无需登录可执行任意SQL语句(附脚本) | CN-SEC 中文网...
先以本地为例 http://localhost:8088/ws code 区域 http://localhost:8088/ws/query?wsdl 竟然提示 code 区域 Unmarshalli ...
- 连接mysql报zone时区错误
连接mysql报zone时区错误 报错信息: The server time zone value 'Öйú±ê׼ʱ¼ä' is unrecognized or represents more ...
- Linux下连接Mysql服务器的方式
一:mysql连接简介 1.linux下mysql的连接方式有三种: 本地mysql命令连接 客户端命令连接 脚本语言封装方法连接 2.linux下mysql的连接方法有两种: TCP/IP协议连接 ...
- 用python连接数据库_用Python连接MySQL
MySQL是当下最流行的关系型数据库管理系统之一,在用Python爬取网络数据的过程中也经常需要用到MySQL,Python中pymysql库提供了连接MySQL的接口,为Python连接和操作MyS ...
- pymysql连接mysql数据库try_pymysql 连接数据库和基本使用
pymysql 连接mysql数据库import pymysql.cursors # 连接数据库配置信息 connection = pymysql.connect(host='localhost', ...
- 在linux中连接mysql数据库服务器_Linux下连接Mysql服务器的方式
一:mysql连接简介 1.linux下mysql的连接方式有三种: 本地mysql命令连接 客户端命令连接 脚本语言封装方法连接 2.linux下mysql的连接方法有两种: TCP/IP协议连接 ...
- 连接mysql报错 errorCode 1129, state HY000, Host ‘xxx‘ is blocked because of many connection errors
springcloud项目启动连接mysql过程中报错. 报错关键信息如下: java.sql.SQLException: null, message from server: "Host ...
- mysql max pool_asp.net连接mysql得到错误all pooled connections were in use and max pool size was reach...
asp.net连接mysql数据库时,得到以下错误信息 MySql.Data.MySqlClient.MySqlException (0×80004005): error connecting: Ti ...
- 泛微数据连接配置路径
泛微数据连接配置文件的路径在项目的WEB-INF/prop下的weaver.properties中
- 泛微 E-cology V9 信息泄露漏洞
漏洞描述 i ⭐泛微OA E-Cology信息泄露 API接口漏洞只针对e-cology v9.0版本才有用,JS文件中有一个API接口 漏洞影响 s ✅E-cology = 9.0 空间测绘 d ⭕ ...
最新文章
- yii2的model数据库配置以及应用(主从数据库配置)
- 博客园 noteless 全部文章 目录索引
- 11粘土人脖卡面撑怎么用_零失败的神仙夏日卤味!用电饭煲就能做!配小酒可升仙!...
- IBASE and ES change pointer
- rk3128屏幕占空比参数设置_瑞芯微RK3128芯片怎么样 性能全面解读
- NGINX内部:我们如何设计性能和规模
- windows安装mysql修改密码_1、Windows下安装mysql-8.0.12及修改初始密码
- Windows程序设计的第一个实例
- RENIX软件OSPF和BFD、ISIS和BFD联动测试——网络测试仪实操
- 【黑马程序员数据库】数据库基础大总结
- phpstudy、Apache安装DVWA教程
- kpw4换壁纸_发挥全部潜能,Kindle越狱指南
- 加粉软件直接把你的银行卡信息给泄露了
- python pywifi 破解wifi密码
- 计算机函数两个表格找相同,wps筛选出两个表格中的重复项(countif 函数简单使用)【已解决】...
- Jedis scan及其count的值
- VS开发Application生硬古怪的问题及原因汇总
- Spring源码分析系列——bean创建过程分析(三)——工厂方法创建bean
- 继美团重申严禁诱导强迫骑手注册成个体工商户后,饿了么也回应了
- 二、jQuery 选择器(超细)
热门文章
- 谷歌和火狐FirePath下载
- 分布式系统的一些基本概念
- TransE,知识图谱嵌入(KGE)论文精读
- 傲腾内存安装问题分享
- mcgs组态软件中字体如果从左到右变化_MCGS脚本程序 -
- MVPArms官方快速组件化方案开源,来自5K star的信赖
- 小巧单据打印管理软件
- OpenCL编程入门(一)
- android快牙原理,快牙的使用原理是什么_快牙怎么使用_3DM手游
- 【问题解决】nuget 打包 Unable to find “****.nupkg”.make sure the project has been built. 问题参考