漏洞web sql
泛微E-Cology CheckServer.jsp路径SQL注入漏洞(QVD-2023-9849)
## 漏洞描述 泛微 Ecology OA 系统对用户传入的数据过滤处理不当,导致存在 SQL 注入漏洞,未经过身份认证的远程攻击者可利用此漏洞执行任意SQL指令,从而窃取数据库敏感信息。 ## 影响版本 泛微 Ecology 9.x <= v10.56;泛微 Ecology 8.x <= v10. ......
泛微E-cology FileDownloadForOutDoc SQL注入漏洞(CVE-2023-15672)
## 漏洞简介 泛微e-cology未对用户的输入进行有效的过滤,直接将其拼接进了SQL查询语句中,导致系统出现SQL注入漏洞。远程未授权攻击者可利用此漏洞获取敏感信息,进一步利用可能获取目标系统权限等。 ## 影响版本 Ecology 9.x 补丁版本 < 10.58.0;Ecology 8.x ......
泛微E-cology filedownload目录遍历漏洞
## 漏洞描述 泛微E-cology filedownload文件存在目录遍历漏洞 ## 漏洞复现 fofa查询语法:`app="泛微-协同办公OA"` 鹰图查询语法:`app.name="泛微 e-cology 9.0 OA"` 登录页面如下: ![](https://img2023.cnblog ......
使用Flask和Vue.js构建现代Web应用
博客主题:使用Flask和Vue.js构建现代Web应用 概述 在本篇博客中,我们将介绍如何使用Flask和Vue.js这两个流行的框架来构建一个现代化的Web应用。Flask是一个轻量级的Python Web框架,而Vue.js是一个灵活且易于使用的JavaScript框架,用于构建交互式的用户界 ......
[SQL Server]无法解决 equal to 运算中 "SQL_Latin1_General_CP1_CI_AS" 和 "Chinese_PRC_CI_AS" 之间的排序规则冲突。
错误信息: [SQL Server]无法解决 equal to 运算中 "SQL_Latin1_General_CP1_CI_AS" 和 "Chinese_PRC_CI_AS" 之间的排序规则冲突。 场景: 一个简单的SQL语句,因为团队合作建表时排序方式不同,两个字段无法比较 select mca ......
入门指南:使用Flask构建Web应用程序
Flask是一个基于Python的微型Web框架,用于构建轻量级Web应用程序。与大多数Web框架不同的是,Flask非常灵活,可以根据需要添加扩展和库。 本文将介绍使用Flask构建Web应用程序的基本步骤。 环境准备 在开始之前,您需要安装Python和Flask。如果您还没有安装Python或 ......
致远OA wpsAssistServlet 任意文件上传漏洞
## 漏洞描述 致远OA wpsAssistServlet接口存在任意文件上传漏洞,攻击者通过漏洞可以发送特定的请求包上传恶意文件,获取服务器权限 ## 影响版本 致远OA A6、A8、A8N (V8.0SP2,V8.1,V8.1SP1) 致远OA G6、G6N (V8.1、V8.1SP1) ## ......
BUUCTF [SWPU2019]Web1
进入网站,注册登录,进到申请发布广告,应该就是在这里实现注入。 首先尝试: ``` 1'or 1 = 1# 标题含有敏感词汇 ``` 应该是哪里被过滤了。经过尝试后是`or`被过滤了,`--+`,`#`等其他的注释符也被过滤了。 经过测试后,结尾可以用`单引号`闭合。 再次尝试: ``` 1'sho ......
SQL概述
SQL(Structured Query Language,结构化查询语言)是一种用于管理关系型数据库的标准编程语言。 DDL: 数据定义语言。CREATE \ ALTER \ DROP \ RENAME \ TRUNCATEDML: 数据操作语言。INSERT \ DELETE \ UPDATE ......
致远OA A8 htmlofficeservlet 任意文件上传漏洞
## 漏洞简介 远程攻击者在无需登录的情况下可通过向 URL /seeyon/htmlofficeservlet POST 精心构造的数据即可向目标服务器写入任意文件,写入成功后可执行任意系统命令进而控制目标服务器 ## 影响版本 致远A8-V5协同管理软件V6.1sp1 致远A8+协同管理软件V7 ......
致远OA getSessionList.jsp Session泄漏漏洞
## 漏洞简介 通过使用存在漏洞的请求时,会回显部分用户的Session值,导致出现任意登录的情况 ## 漏洞复现 fofa语法:`app="致远互联-OA"` 登录页面如下: ![](https://img2023.cnblogs.com/blog/2541080/202309/2541080-2 ......
致远OA A8 status.jsp 信息泄露漏洞
## 漏洞描述 致远OA A8-m 存在状态监控页面信息泄露,攻击者可以从其中获取网站路径和用户名等敏感信息进一步攻击 ## 漏洞复现 fofa语法:`title="A8-m"` 登录页面如下:  测试模板注入  - #1 漏洞评估解决方案
Tenable Nessus 10.6.0 (Unix, Linux, Windows) - #1 漏洞评估解决方案 发布 Nessus 试用版自动化安装程序,支持 macOS Ventura、RHEL 9 和 Ubuntu 22.04 请访问原文链接:,查看最新版。原创作品,转载请保留出处。 作者 ......
[Microsoft Azure] 如何创建 Azure App Service 静态Web应用
随着互联网的快速发展,越来越多的企业和个人开始将自己的业务搬到线上。而创建一个性能优越、易于维护的网站就成为了迫切的需求。在这篇博客中,我们将讨论如何使用 Microsoft Azure 创建一个 Azure App Service 静态 Web 应用,帮助你快速上手,轻松搭建属于自己的网站。 Az ......
读SQL学习指南(第3版)笔记10_元数据与大数据
 # 1. 元数据 ## 1.1. metadata ## 1.2. 关于数据的数据 ## 1.3. 数据字典 ## ......
mybatis 动态sql
介绍 https://www.cnblogs.com/ysocean/p/7289529.html 类似于与JSTL 基于OGNL表达式 if choose(when,otherwise) trim(where,set) foreach 一:if 在动态 SQL 中所做的最通用的事情是包含部分 wh ......
java过滤器拦截sql注入和xss
import javax.servlet.*; import javax.servlet.annotation.WebFilter; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServlet ......
Web服务器部署上线的踩坑流程回顾与知新
>5月份时曾部署上线了C++的Web服务器,温故而知新,本篇文章梳理总结一下部署流程知识; >- 最初的解决方案:https://blog.csdn.net/BinBinCome/article/details/129750951?spm=1001.2014.3001.5501 >- 后来的解决方案 ......
读SQL学习指南(第3版)笔记09_条件逻辑与事务
 # 1. 条件逻辑 ## 1.1. SQL逻辑根据特定列或表达式转向不同的分支来处理 ## 1.2. 在程序执行 ......
BEEScms_V4代码审计漏洞分析
##鉴权漏洞-访问绕过 全局变量预设时忽略了后面鉴权用到的session变量,全局鉴权函数在includes/fun.php的is_login()中,逻辑非常简单,只是单纯的判断了是否存在login_in admin、session这俩标识位和超时大于3600,满足条件即可。 -项目初始化
## 安装 React 及 Hardhat ```shell mkdir ArtistStudio cd ArtistStudio pnpm create vite artist-studio --template react cd artist-studio npx hardhat # 剩下的默认 ......
[SWPUCTF 2021 新生赛]sql
[SWPUCTF 2021 新生赛]sql 题目来源:nssctf 题目类型:web 涉及考点:SQL注入 1. 又是熟悉的杰哥,先尝试判断闭合类型、回显列数 * 判断闭合类型: `/?wllm=1`: `/?wllm=1'`: `/?wllm=1'%23`: > %23是#的url编码 判断得到闭 ......