请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。信息及工具收集于互联网,真实性及安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责!!!
某OA办公自动化系统平台基于开发JAVA语言开发,以领先的四层(数据层、服务层、应用层、展现层)技术架构,遵循J2EE标准、 SOA标准、WFMC标准、W3C xForm标准、JSR168、WSRP等标准OA技术,封装了大量接口、构件,以多维门户 形式展现,OA系统支持各种部署模式、各种操作系统、各种数据库和中间件,并具备完备的配置体系、接口体系和插 件体系,支持未来的不断扩展。
某OA办公自动化系统平台存在存在XML实体注入漏洞,未经身份认证的攻击者可利用此漏洞获取服务器内部敏感数据,甚至命令执行获取服务器权限从而进一步攻击内网。
Fofa:
body="/jsoa/login.jsp"Hunter:
body="/jsoa/login.jsp" Quake:
body="/jsoa/login.jsp"DNSLog测试。
Nuclei批量漏洞检测POC脚本已发布知识星球:小明信安POC库
在Web应用防火墙中添加接口临时黑名单规则 联系厂商打补丁或升级版本。
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...