网安原创文章推荐【2024/11/10】

文章预览

2024-11-10 微信公众号精选安全技术文章总览 洞见网安 2024-11-10 0x1  网络安全设备资产指纹收集：应用指纹的探索与实践 东方隐侠安全团队 2024-11-10 22:30:19 设备资产指纹收集是一项网络攻防对抗中至关重要的任务。 0x2  用友NC psnImage/download SQL注入代码分析 深白网安 2024-11-10 22:23:18 本文详细分析了用友NC系统中psnImage/download接口存在的SQL注入漏洞。通过全局搜索psnImage关键字，定位到PsnMapImageAction类，发现download方法中接收的pk_psndoc参数未经适当处理即传入queryPsndocVOByPk函数。该函数通过IPsndocQryService接口实例化的psndocQryServ对象调用，最终在PsndocDAO类的queryPsndocVOByPk方法中，参数直接拼接到SQL语句中，导致SQL注入。文章详细追踪了漏洞产生的全过程，并强调仅供安全研究与教学之用，遵守网络安全法，请勿用于非法入侵。 SQL注入 ………………………………