网站安全测试与检测中 发现的OA系统中的SQL注入漏洞
近日,SINE安全监测中心监控到泛微OA系统被爆出存在高危的sql注入漏洞,该移动办公OA系统,在正常使用过程中可以伪造匿名身份来进行SQL注入攻击,获取用户等隐私信息,目前该网站漏洞影响较大,使用此E-cology的用户,以及数据库oracle都会受到该漏洞的攻击,经过安全技术的POC安全测试,发现漏洞的利用非常简单,危害较大,可以获取管理员的账号密码,以及webshell。
该OA系统漏洞的产生原因主要是泛微里的WorkflowCenterTreeData接口存在漏洞,在前端进行提交参数过程中没有对其进行安全效验与过滤,导致可以插入oracle sql语句拼接成恶意的注入语句到后端服务器中去,造成sql注入攻击对数据库可以进行增,删,读,获取用户的账号密码,目前的安全情况,泛微官方并没有对该漏洞进行修复,也没有任何的紧急的安全响应,所有使用泛微的E-cology OA办公系统都会受到攻击。
什么是泛微OA系统?简单来介绍一下,该系统是以公司办公为核心,提供快捷方便的办公网络,所有的公司办公都在泛微OA系统上实现,大大的提高办公效率以及沟通效率,可视化,电子合同,电子盖章,存证,身份安全认证,语音话,协同办公,给公司的运营带来了极大的方便。该OA系统版本覆盖70多个行业,根据行业属性量身定制,还可以APP端协同办公。泛微OA系统采用JAVA+oracle数据库架构开发,国内使用该OA网站系统的公司达到上万家,广东省使用该系统的公司数量最多,紧跟其后的是四川省,再就是河南省,上海市等地区。
网站漏洞POC及网站安全测试
我们来看下WorkflowCenterTreeData接口的代码是如何写的,如下图:当这个接口从前端接收到传递过来的参数的时候,没有对其进行详细的安全检测与过滤导致直接可以插入恶意的SQL注入语句拼接进来,传递到服务器的后端执行,导致网站sql注入漏洞的产生。可以查询当前网站的OA系统管理员账号密码,通过解密可以登录后台并直接操作后台系统,查看公司的办公情况,用户的数据可导致被泄露,严重的可以在后台上传webshell,也就是网站木马文件,获取linux服务器的权限。
关于该泛微OA网站漏洞的修复与建议:
目前官方还未发布网站漏洞补丁,建议网站运营者对get,post方式的提交做sql注入语句的安全检测与拦截,可以部署到nginx,以及apache前端环境当中,或者对WorkflowCenterTreeData接口的代码进行注释,停止该接口的功能使用,对网站后台地址进行更改,如果对代码不是太懂的话也可以找专业的网站安全公司来处理,国SINESAFE,启明星辰,绿盟都是比较不错的安全公司。也可以对网站的管理员账号密码进行更改,以数字+字母+大小写等组合10位密码以上来防止该网站漏洞的攻击。
网站安全测试与检测中 发现的OA系统中的SQL注入漏洞相关推荐
- php网站漏洞检测对sql注入漏洞防护
近日,我们SINE安全对metinfo进行网站安全检测发现,metinfo米拓建站系统存在高危的sql注入漏洞,攻击者可以利用该漏洞对网站的代码进行sql注入攻击,伪造恶意的sql非法语句,对网站的数 ...
- 对搜狐 网易和TOM三大门户网站的SQL注入漏洞检测
分享一下我老师大神的人工智能教程!零基础,通俗易懂!http://blog.csdn.net/jiangjunshow 也欢迎大家转载本篇文章.分享知识,造福人民,实现我们中华民族伟大复兴! 对搜狐. ...
- php网站漏洞检测对sql注入漏洞防护 1
近日,我们SINE安全对metinfo进行网站安全检测发现,metinfo米拓建站系统存在高危的sql注入漏洞,攻击者可以利用该漏洞对网站的代码进行sql注入攻击,伪造恶意的sql非法语句,对网站的数 ...
- 白帽子发现美军网站SQL注入漏洞,可获取敏感数据
去年有报道称,美军收购软件漏洞为网战准备.而美军自己的网站和服务器究竟又有多安全?一名独立安全研究者已经发现了美军网站的几个较为严重的安全漏洞. 安全专家称,这些漏洞说明了美国防部网络安全基础的脆弱性 ...
- SQL注入漏洞的检测与防范技术
提 要 本文从SQL注入的基本概念和注入原理入手,分析总结了SQL注入漏洞的检测及其防范技术措施. 关键词 SQL注入漏洞 检测 防范技术 引 言 近几年来随着计算机网络和WEB技术的飞速 ...
- 手工检测SQL注入漏洞
SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令,具体来说,它是利用现有应用程序将(恶意的)SQL命令注入到后台数据库引擎执 ...
- SQL 注入漏洞检测与利用
SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令,它是利用现有应用程序将(恶意的)SQL命令注入到后台数据库引擎执行的能力, ...
- sql注入漏洞检测攻略
sql注入漏洞检测攻略 一.注入分类 1.可回显注入 2.不可回显注入 3.二次注入 二.如何判断 1.基于报错的检验 2.通过布尔的检验 3.通过连接符+ 三.绕过 1.过滤关键字 2.过滤空格 3 ...
- 墨者学院-SQL注入漏洞测试(报错盲注)
继续攻克SQL注入类题目啦!!!今天的题目环境提示比较明显,也是比较常见的一种SQL注入漏洞类型,继续储备知识,撸起袖子加油干!!! 附上题目链接:https://www.mozhe.cn/bug/d ...
最新文章
- 导师:CV学的这么差,你别毕业了
- 大数据学习笔记一:大数据的发展历程--MapReduce,Hive,Yarn,Hadoop,Spark,Flink
- SAP MM GR-based IV, 无GR不能IV?
- SSM实现个人博客-day04
- Repeating Cipher
- java8optional_关于Java 8的Optional的介绍
- android addtextchangedlistener参数,【Android】关于addTextChangedListener()方法的上机记录...
- 【华为云技术分享】【玩转Atlas200DK系列】应用开发之 交叉编译第三方库并在工程中使用(jsoncpp)
- 许家印砸1000亿布局AI、量子计算等领域,但在科技圈只能算轻壕
- C++类所占大小的问题
- linux内核启动后键盘不能用,编译linux-0.11内核后键盘不对的问题解决方法,比如/变成了-...
- Unity3D shader简介
- matlab可以做什么,matlab仿真用来干什么
- HDU 5442 (串的最大表示+KMP)
- 【数据分析】2022 年将占据主导地位的 3 种数据和分析趋势
- 关于“智能革命”的分析与思考
- 华为台式机擎云W515 PGUV-WBY0安装银河麒麟V10
- Django项目实战——6—(退出登录、判断用户是否登录、QQ登录、QQ登录工具QQLoginTool、本机绑定域名)
- 蓝奏云下载地址解析API[直链]
- ibatis学习以及与mybatis的不同