(0day)安科瑞环保用电监管云平台存在SQL注入漏洞

发布于 作者:

(0day)安科瑞环保用电监管云平台存在SQL注入漏洞

原创 WebSec WebSec 2024-12-19 04:19

阅读须知

亲爱的读者,我们诚挚地提醒您,WebSec实验室的技术文章仅供个人研究学习参考。任何因传播或利用本实验室提供的信息而造成的直接或间接后果及损失,均由使用者自行承担责任。WebSec实验室及作者对此概不负责。如有侵权,请立即告知,我们将立即删除并致歉。感谢您的理解与支持!

01

漏洞描述

安科瑞环保用电监管云平台是一款基于云计算和大数据技术的智能能源管理系统,旨在帮助企业和公共机构实现电力监控、数据分析和用电优化。通过实时监测电力消耗、设备状态和能效数据,平台可以生成详细报告和预警,帮助用户提高能源使用效率、降低成本,并符合环保和能源管理的相关法规要求。系统支持远程控制、智能调度,提升能源管理的精细化与智能化水平。

02

资产测绘 

Fofa语法:body="myCss/phone.css"

03

漏洞复现

04

修复建议

临时缓解方案:
限制输入类型
:对用户输入进行严格的类型检查,确保输入数据符合预期的格式。例如,如果某个字段应该是数字,确保用户输入的值仅为数字。

  • 过滤特殊字符
    :对用户输入中的特殊字符(如 ‘
    、”
    、;
    、–
     等)进行转义或替换,以防止恶意SQL语句注入。

  • 使用白名单验证
    :只允许特定的、已知的输入值,避免使用黑名单过滤,因为黑名单无法覆盖所有攻击方式。

升级修复方案:

官方已发布补丁

05

星球介绍

  1. 我们郑重承诺,不定时推送高质量的
    1day
    ,有时也会分享未公开的
    0day

  2. 星球目前价格降至
    99元
    ,公众号设置星标,私聊星主只需
    89元.

  3. 欢迎投稿
    最新漏洞poc

    复现分析文章
    ,符合条件的投稿者将获得一年免费会员资格。

速来刷分

▌▌▌星球服务

1、WebSec专属Fofa查询工具(
Fofa永久高级会员)****

2、Hunter积分充值八折优惠

3、
MD5付费版查询

4、Xray高级版

更多漏洞poc发布在知识星球

  • END –