首页> 服务支持 > 安全中心 > 安全公告 >熵基科技关于百傲瑞达/人证魔方管理系统更新的通告

熵基科技关于百傲瑞达/人证魔方管理系统更新的通告


  近日,由客户反馈人证魔方产品存在一些问题,详细情况如下:


一、问题说明


  1.系统存在逻辑登录逻辑问题。


  2.系统存在SQL注入问题。


  3.系统存在未授权访问问题。


二、影响范围


  人证魔方管理软件3.2版本


三、问题分析


  问题1的根因分析:通过向系统的登录接口/sysuserinfo_select_data/提交一个POST数据库,其中添加UserName='Employee'字段即可在浏览器返回页面获取该系统的账号密码,该系统默认存在两个账号Employee和Admin。


  问题2的根因分析:代码直接使用append拼接sql语句,没有任何过滤,拼接用户传入的userid进行查询,从而导致sql注入


  问题3的根因分析:系统接口没有令牌效验,接口处于暴露状态,可以被任何第三方调用,进而获取系统内的敏感信息


四、临时解决办法


  处理方案:增加接口调用口令,通讯数据加密。


五、长期处置办法


  1.【方案一】:更新新版本3.2软件,新版本修复了上述已知问题。


  2.【方案二】:更新新版本3.5软件,使用B/S架构版本,没有发现上述问题。


六、后续改善计划


  升级软件版本,使用新版本b/s架构软件


本网站使用Cookie在您的设备上存储信息,Cookie可以增强您的用户体验 帮助我们的网站正常运行。
如需更多信息,请阅读我们的 Cookie政策隐私政策.

接受