【漏洞复现】通天星-CMSV6-downloadLogger-sql注入

免责声明

此内容仅供技术交流与学习，请勿用于未经授权的场景。请遵循相关法律与道德规范。任何因使用本文所述技术而引发的法律责任，与本文作者及发布平台无关。如有内容争议或侵权，请及时私信我们！

漏洞描述

通天星CMSV6车载视频监控平台是东莞市通天星软件科技有限公司研发的监控平台，通天星CMSV6产品覆盖车载录像机、单兵录像机、网络监控摄像机、行驶记录仪等产品的视频综合平台。通天星科技应用于公交车车载、校车车载、大巴车车载、物流车载、油品运输车载、警车车载等公共交通视频监控，还应用在家居看护、商铺远程监控、私家车的行驶分享仪上等。该系统存在一个SQL注入漏洞。攻击者可以通过构造恶意的SQL语句，成功注入并执行恶意数据库操作，可能导致敏感信息泄露、数据库被篡改或其他严重后果。

FOFA

body="808gps"

漏洞复现

NucleiPoc

详细poc请移步星球获取

修复建议

采用参数化查询或预编译语句等安全的数据库访问方法，确保用户输入的数据不直接与SQL查询语句拼接，从而防止恶意SQL代码的注入。对所有用户输入进行严格的验证和过滤，包括对数据类型、长度、格式等的验证，以确保输入数据符合预期的格式和范围。采用最小权限原则，为数据库用户分配最小必要的权限，避免在SQL查询中暴露敏感信息。对数据库服务器和应用程序进行定期更新和维护，及时应用安全补丁，以修复已知的漏洞。进行安全审计和监控，记录数据库访问日志，并监测异常行为，及时发现和响应潜在的攻击。

 

原文始发于微信公众号（知黑守白）：【漏洞复现】通天星-CMSV6-downloadLogger-sql注入