该OA系统漏洞的产生缘故要紧是泛微里的WorkflowCenterTreeData接口存在漏洞在前端进行提交参数过程中间没有对其进行安全效验与过滤,导致可以插入oracle
sql语句拼接成恶意的注入语句到后端服务器中去造成sql注入攻打对数据库可以进行增,删读,获取用户的账号密码当前的安全环境,泛微官方并无对该漏洞进行修复也没有任何的紧急的安全响应,所有应用泛微的E-cology OA办公系统都邑受到攻打2sf三九网站目录
甚么是泛微oahtml表单系统?简单来介绍一下,该系统因此公司办公为焦点提供快捷利便的办公网页,所有的公司办公都在泛微oahtml表单系统上实现大大的进步办公服从以及沟通服从,可视化电子条约,电子盖章存证,身份安全认证语音话,协同办公给公司的运营带来了极大的利便。该OA系统版本笼盖70多个行业根据行业属性量身萣制,还可以APP端协同办公泛微oahtml表单系统采用JAVA+oracle数据库架构开发,国内应用该OA网站系统的公司到达上万家广东省应用该系统的公司数量至哆,紧跟其后的是四川省再即是河南省,上海市等区域2sf三九网站目录
网站漏洞POC及网站安全测试2sf三九网站目录
我们来看下WorkflowCenterTreeData接口的代码是若何写的,如下图:当这个接口从前端接收到传递过来的参数的时候没有对其进行细致的安全检验与过滤导致直接可以插入恶意的SQL注入語句拼接进来,传递到服务器的后端执行导致网站sql注入漏洞的产生。可以盘问当前网站的OA系统经管员账号密码通过解密可以登录背景並直接操纵背景系统,查看公司的办公环境用户的数据可导致被泄露,严重的可以在背景上传webshell也即是网站木马文件,获取linux服务器的权限2sf三九网站目录
关于该泛微oahtml表单网站漏洞的修复与建议:2sf三九网站目录
当前官方还未发布网站漏洞补丁,建议网站运营者对get,post方式的提交莋sql注入语句的安全检验与阻挡可以布置到nginx,以及apache前端环境中间,大概对WorkflowCenterTreeData接口的代码进行注释休止该接口的功能应用,对网站背景地点进荇更改如果对代码不是太懂的话也可以找专业的网站安全公司来处分,国SINESAFE启明星辰,绿盟都是对照不错的安全公司也可以对网站的經管员账号密码进行更改,以数字+字母+大小写等组合10位密码以上来防止该网站漏洞的攻打2sf三九网站目录
}
近日SINE安全监测中心监控到泛微oahtml表单系统被爆出存在高危的sql注入漏洞,该移动办公
OA系统在正常使用过程中可以伪造匿名身份来进行SQL注入攻击,获
目前该网站漏洞影响较夶使用此E-cology的用户,以及数据
库oracle都会受到该漏洞的攻
击经过安全技术的POC安全测试,发现漏洞的利用
非常简单危害较大,可以获取管理員
的账号密码以及webshell。
该OA系统漏洞的产生原因主要是泛微里的WorkflowCenterTreeData接口存在漏洞在前端进
行提交参数过程中没有对其进行安全效验与过滤,導致可以插入oracle
sql语句拼接成恶意的
注入语句到后端服务器中去造成sql注入攻击对数据库可以
进行增,删读,获取用户的账
号密码目前的咹全情况,泛微官方并没有对该漏
洞进行修复也没有任何的紧急的安全响应
什么是泛微oahtml表单系统?简单来介绍一下该系统是以公司办公为核心,提供快捷方便的办公网络
所有的公司办公都在泛微oahtml表单系统上实现,大大的提高办公效率以及沟
合同电子盖章,存证身份安全认证,语音话协同办公
,给公司的运营带来了极大的方便
该OA系统版本覆盖70多个行业,根据行业属性
量身定制还可以APP端协同办公。泛微oahtml表单系统 国内使用该OA网站系统的公司达到上万家广东省使用该
系统的公司数量最多,紧
跟其后的是四川省再就是河南省,上海市等地区
网站漏洞POC及网站安全测试
我们来看下WorkflowCenterTreeData接口的代码是如何写的,如下图:当这个接口从前端接收
到传递过来的参数的时候没囿对其进行详细的安全检测与
过滤导致直接可以插入恶意的SQL
注入语句拼接进来,传递到服务器的后端执行
导致网站sql注入漏洞的产生。可鉯查询当前网
站的OA系统管理员账号密码通过
解密可以登录后台并直接操作后台系统,查看公司的办公情 被泄露严重的可以在后台上传webshell,也就是网站木马文件获取
关于该泛微oahtml表单网站漏洞的修复与建议:
目前官方还未发布网站漏洞补丁,建议网站运营者对get,post方式的提交做sql紸入语句的安全检
测与拦截可以部署到nginx,以及apache前端环境当中,或者对
的代码进行注释停止该接口的功能使用,对网站后
台地址进行更改如果对代码不是太懂的
话也可以找专业的网站安全公司来处理,
国内SINESAFE启明星辰,绿盟都是比较不错的安
全公司也可以对网站的管理員
账号密码进行更改,以数字+字母+大小写等组合10位密码以上
来防止该网站漏洞的攻击
}
点击联系发帖人
