HanDs
管理员

[7月漏洞公开] 朗新天霁人力资源管理系统e-HR存在SQL注射漏洞(无需登录) 



RT

详细说明:

朗新天霁人力资源管理系统e-HR,webservice无需要登录可调用,并存在sql注射漏洞,直接获取管理员明文密码。

在提交参数是后台接收客户端传过来的sql语句,导致任意操作数据库

http://**.**.**.**//Service/ComService.svc

hrsoft5.png



如:获取超级管理员的密码如下:

暴错注入:(select top 1 left(password,10) from A01)>0

hrsoft1.png



案例:

**.**.**.**/

**.**.**.**:8011/ehr/

**.**.**.**

漏洞证明:

工资、身份证等公司敏感数据就这样泄露了。

hrsoft3.png

hrsoft4.png

修复方案:

sql过滤


学习中请遵守法律法规,本网站内容均来自于互联网,本网站不负担法律责任
人力资源 管理系统 e -H R 存在 S QL
#1楼
发帖时间:2016-7-11   |   查看数:0   |   回复数:0
游客组
快速回复