起步软件技术论坛
搜索
 找回密码
 注册

QQ登录

只需一步,快速开始

起步软件技术论坛»论坛 开发者论坛 BeX5开发者论坛 系统被检测出SQL注入漏洞
返回列表 发新帖
查看: 960|回复: 1

[处理中3] 系统被检测出SQL注入漏洞

[复制链接]

170

主题

838

帖子

2136

积分

金牌会员

Rank: 6Rank: 6

积分
2136
QQ
发表于 2023-7-12 12:41:06 | 显示全部楼层 |阅读模式
版本: 其它(帖子中说明) 小版本号:
数据库: 服务器操作系统: 应用服务器:
客户端操作系统: 浏览器:
本帖最后由 hua_love2011 于 2023-7-12 17:34 编辑

V3.8版本

漏洞位置:
登录后抓包-json数据包里含有filter参数,该参数全局多处存在,且都存在注入点建议全局修复

漏洞举证:
1、burp在任意页面抓包,发现请求包中存在filter参数,对其进行简单手工测试,发现系统报错,并且把查询语句带了出来。在平台上二次开发的模块发现的注入漏洞我们已修复。
图片1.png
1=2是被安全检测人员添加的
你不向前奔跑,没有人愿意停下来等你!
回复

使用道具 举报

91

主题

13万

帖子

3万

积分

管理员

Rank: 9Rank: 9Rank: 9

积分
35918
发表于 2023-7-20 17:15:09 | 显示全部楼层
用平台默认queryAction可以重新默认的procedure对应的java方法
可以自己添加参数,用自己的参数传参不用filter
远程的联系方法QQ1392416607,添加好友时,需在备注里注明其论坛名字及ID,公司等信息
发远程时同时也发一下帖子地址,方便了解要解决的问题  WeX5教程  WeX5下载



如按照该方法解决,请及时跟帖,便于版主结贴
回复 支持 反对

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册

本版积分规则

小黑屋|手机版|X3技术论坛|Justep Inc.    

GMT+8, 2024-4-28 19:32 , Processed in 0.103064 second(s), 29 queries .

Powered by Discuz! X3.4

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表