阅读须知:亲爱的读者,我们诚挚地提醒您,WebSec实验室的技术文章仅供个人研究学习参考。任何因传播或利用本实验室提供的信息而造成的直接或间接后果及损失,均由使用者自行承担责任。WebSec实验室及作者对此概不负责。如有侵权,请立即告知,我们将立即删除并致歉。感谢您的理解与支持!
0x00.漏洞描述
此平台是一款基于物联网技术的智能连接平台。它提供了全面的功能和服务,用于管理和监控各种物联网设备。该平台具有高度可定制化的特点,可以适应不同行业和场景的需求。通过此平台用户可以实时监测设备状态、收集和分析数据、进行远程控制和调度等操作。平台还支持多种通信协议和设备接入方式,实现设备之间的互联互通。同时,此平台提供了友好的用户界面和强大的数据管理功能,帮助用户快速搭建和管理物联网系统。总之,此平台为用户提供了便捷高效的物联网解决方案,并推动了物联网技术的应用和发展。
0x01.资产测绘
Fofa语法:title="JieLink+智能终端操作平台"Hunter语法:web.title=="JieLink+智能终端操作平台"
0x02.漏洞复现
0x03.修复建议
-
使用参数化查询或预编译语句:使用参数化查询或预编译语句可以将用户输入的数据与SQL语句分开处理,从而防止恶意注入。参数化查询使用绑定变量来传递用户输入,而不是直接将用户输入拼接到SQL语句中。
-
输入验证和过滤:对用户输入的数据进行验证和过滤,确保只接受符合预期格式和类型的数据。可以使用正则表达式或其他验证方法对数据进行检查,过滤掉非法字符或格式错误的输入。
原文始发于微信公众号(信安404):(0day)某智能终端操作平台前台存在通用SQL注入漏洞
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论