网安原创文章推荐【2024/8/4】

文章预览

2024-08-04 微信公众号精选安全技术文章总览 洞见网安 2024-08-04 0x1  【HW-day】用友NC Cloud queryStaffByName SQL注入漏洞【附poc】 苏诺木安全团队 2024-08-04 22:56:13 本文主要介绍了用友NC Cloud系统存在的一个SQL注入漏洞。用友NC Cloud是一款以全球化集团管控、行业化解决方案为设计核心的信息化应用系统，广泛应用于中国大企业集团管理中。文章指出，系统在'queryStaffByName'接口中存在安全漏洞，攻击者可以利用此漏洞获取数据库敏感信息。为了检测该漏洞，文章提供了一个名为'YongYouNCC_queryStaffByName_SQLInject.py'的检测脚本，该脚本可通过批量或单个URL的方式进行漏洞探测。此外，文章还提醒读者，官方已经发布了修复此漏洞的补丁，并建议用户升级至最新版本以确保系统安全。文章最后强调，本文内容仅供技术学习和讨论使用，严禁用于非法活动。 ………………………………