明源云ERP产品旨在帮助企业实现数字化、智能化的管理,提高企业运营效率和核心竞争力。该系统某接口存在SQL注入漏洞,攻击者通过在Web应用程序的输入字段中注入恶意的SQL代码,从而在后台数据库中执行未经授权的操作。
Hunter语法:app.name="明源云 ERP"
- 使用参数化查询或预编译语句,避免直接拼接用户输入的数据到SQL查询语句中。通过使用参数化查询或预编译语句,确保用户输入的数据不被直接解释为SQL代码。
- 进行输入验证和过滤,确保用户输入的数据符合预期。对于不符合预期的输入,进行错误处理或拒绝操作,避免恶意注入攻击。
- 限制数据库用户的权限,避免普通用户具有执行敏感操作的权限。确保数据库用户只拥有最小必需的权限,限制潜在的注入攻击影响范围。
升级修复方案:
官方已发布补丁
原文始发于微信公众号(WebSec):(未公开1day)明源云erp某接口存在SQL注入漏洞
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
2024年8月6日 上午11:43 1F
不是这poc还打码
2024年8月6日 下午12:46 B1
@ su19 呃...确实不该,已经在调整了