阅读须知
亲爱的读者,我们诚挚地提醒您,WebSec实验室的技术文章仅供个人研究学习参考。任何因传播或利用本实验室提供的信息而造成的直接或间接后果及损失,均由使用者自行承担责任。WebSec实验室及作者对此概不负责。如有侵权,请立即告知,我们将立即删除并致歉。感谢您的理解与支持!
01
漏洞描述
此移动管理系统是一款面向企业的移动应用平台,提供移动办公、流程审批、移动报销、移动考勤等功能,帮助企业实现移动化办公和管理。此系统某接口存在SQL注入漏洞
02
资产测绘
Fofa语法:app="用友-移动系统管理"
03
漏洞复现
04
修复建议
-
输入验证和过滤:对用户输入的数据进行严格的验证和过滤,确保只接受符合预期格式和类型的数据。使用白名单过滤或正则表达式来限制输入内容。
-
参数化查询或预编译语句:使用参数化查询或预编译语句来构建SQL查询,确保用户输入的数据不直接拼接到查询语句中,而是作为参数传递给数据库引擎执行。
-
最小权限原则:确保应用程序连接数据库的账户具有最小的操作权限,仅允许执行必要的操作,减少攻击者可以利用的可能性。
升级修复方案:
官方已发布补丁
05
原文始发于微信公众号(WebSec):【漏洞复现】*友某系统某接口存在SQL注入漏洞
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论