Oracle JDEdwards EnterpriseOne Tools授权错误漏洞

iSee857

已于 2024-08-27 17:21:03 修改

阅读量469

点赞数 2

分类专栏：漏洞复现文章标签： oracle web安全

于 2024-08-23 15:55:43 首次发布

本文链接：https://blog.youkuaiyun.com/xc_214/article/details/141467750

版权

漏洞复现专栏收录该内容

349 篇文章 ¥19.90 ¥99.00

订阅专栏

超级会员免费看

0x01 漏洞描述：

Oracle在9.2或更低版本中可通过/manage/fileDownloader接口绕过权限校验，未授权获取系统管理员密码

0x02 影响版本：

Oracle JD Edwards EnterpriseOne Tools < 9.2.8.0

0x03 搜索语句：

Fofa：app="BEA-WebLogic-Server" && country!="CN" && port="8999"

Shodan：port:8999 product:"Oracle WebLogic Server"

0x04 漏洞复现：

GET /manage/fileDownloader?

了解本专栏

订阅专栏解锁全文

超级会员免费看

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

iSee857

关注关注

2
点赞
踩
3

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
打赏
打赏
打赏举报

举报

专栏目录

订阅专栏

Oracle JDEdwards EnterpriseOne Tools 数据库信息泄露漏洞

BitCodeW的博客

09-22

162

然而，该软件在处理敏感数据时存在一个信息泄露漏洞，可能导致数据库中的敏感信息被未经授权的人员访问和获取。本文将详细介绍该漏洞的原理和潜在的风险，并提供相应的源代码示例。企业和组织应该采取相应的安全措施，包括更新软件版本、强化访问控制、进行输入验证和定期安全审计，以减少风险并保护敏感数据的安全。攻击者可以通过构造恶意的数据库查询语句来绕过访问控制，从而获取数据库中的敏感信息。如果未及时修补此漏洞，攻击者可以获取数据库中的敏感信息，如用户凭据、财务数据等，从而对企业造成严重的损失。

Oracle JDEdwards数据泄露安全漏洞及其防范措施

BitNetT的博客

09-22

102

Oracle JDEdwards数据库的安全漏洞可能导致敏感数据泄露，但通过采取适当的防范措施，可以有效减少潜在的风险。为了最大程度地保护系统和数据的安全，建议与安全专家合作，进行综合的安全审计和漏洞扫描，并根据具体情况采取相应的安全措施。该漏洞涉及Oracle JDEdwards的数据库，攻击者可以通过利用该漏洞，获取系统中存储的敏感数据，包括但不限于个人身份信息、财务数据和业务机密等。定期更新和补丁管理：及时安装Oracle JDEdwards的安全补丁和更新，以修复已知的安全漏洞。

参与评论您还未登录，请先登录后发表或查看评论

oracle jdedward,Oracle JDEdwards EnterpriseOne Tools信息泄露漏洞(CVE-2011-3524)

weixin_36197669的博客

04-12

182

发布日期：2012-01-17更新日期：2012-02-27受影响系统：Oracle JD Edwards EnterpriseOne 8.98Oracle JD Edwards EnterpriseOne 8.97Oracle JD Edwards EnterpriseOne 8.96Oracle JD Edwards EnterpriseOne 8.95.J1Oracle JD Edwards...

HW漏洞威胁情报第三十一天|HW情报

weixin_43167326的博客

08-22

439

技术文章仅供参考，此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等（包括但不限于）进行检测或维护参考，未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失，均由使用者本人负责。本文所提供的工具仅用于学习，禁止用于其他！！！

Oracle JDEdwards EnterpriseOne Tools 数据库拒绝服务漏洞

BitCodeW的博客

09-22

108

通过更新和升级软件、实施访问控制和认证、限制资源使用，并进行定期的漏洞扫描和安全测试，可以有效减少这个漏洞的风险。然而，该工具在处理数据库请求时存在漏洞，攻击者可以利用这个漏洞来发送恶意请求，导致数据库系统资源耗尽，从而拒绝正常的服务。下面是一个简单的示例代码，模拟了一个可能导致数据库拒绝服务漏洞的情况。访问控制和认证：实施严格的访问控制措施，限制对数据库的访问，并使用强密码和多因素身份验证来保护数据库账户。漏洞扫描和安全测试：定期进行漏洞扫描和安全测试，以发现和修复潜在的漏洞。

Oracle JDEdwards EnterpriseOne 开发工具指南

"JDEDevelopment主要关注的是JDEdwards EnterpriseOne开发工具，这份文档是Oracle内部和OAI用户专用的，版本为2.0，发布于2006年10月，适用于8.96版本。文档包含了对Oracle版权的保护声明，仅限在Oracle培训课程中...

数据库系统-数据库控制

2303_76262050的博客

04-06

729

事务的ACID特性：并发产生的问题：解决方案：封锁协议：用户标识与鉴定：最外层的安全保护措施，可用使用账户、口令及随机数检验等方式存取控制：对用户进行授权，包括操作类型（如增删改查）和数据对象（数据范围）的权限密码存储与传输：对远程终端信息用密码传输视图保护：对视图进行授权审计：使用一个专用文件或数据库，自动将用户对数据库的所有操作记录下来冷备份：静态备份，是将数据库正常关闭，在停止状态下，将数据库文件全部备份下来热备份：动态备份，是利用备份软件，在数据库正常运行的状态下，将数据库中的数据文件备份出来。完

oracle json笔记

enthan809882的博客

04-08

524

oracle json笔记

Mysql(继续更新)

tiantiantbtb的博客

04-08

772

数据库(DataBase),简称:DB.存储数据的仓库,数据是有组织的进行存储数据库管理系统(DataBase Management System),简称:DBMS.操作和管理数据库的大型软件SQL(Structured Query Language):操作关系型数据库的编程语言,定义了一套操作关系型数据库统一标准常用关键字CREATE：创建数据库、表、视图等DROP：删除数据库、表、视图等ALTER：修改表结构（增加/删除列、修改列类型等）TRUNCATE。

Mysql 数据库编程技术01

baobao1767640830的博客

04-05

988

支持各种平台，常搭配Linux。组成的LAMP（Linux-Apache-MySQL-PHP）网站架构是目前国际流行的网站架构方案。

Clickhouse试用单机版部署

最新发布

fxtxz2的专栏

04-10

173

我这免费的EC2实例类型，安装完Clickhouse数据库后，就快卡死了。算了到此为止。后面，我有时间再试一试本地mac m1上面能不能安装吧！

Seata框架，如何保证事务的隔离性？

欢迎来到空说的博客

04-10

284

我们知道，在一阶段后，RM 的分支事务其实已经提交了，这时候在数据库层面来说就是读已提交，但是站在整个全局视角来说，只要二阶段还没执行提交或者回滚，整个全局事务都是处于未提交的阶段。tx1 先开始，开启本地事务，拿到本地锁，更新操作 m = 1000-100=900，本地事务提交前，先拿到该记录的。如果 tx1 的二阶段全局回滚，则 tx1 需要重新获取该数据的本地锁，进行反向补偿的更新操作，实现分支的回滚。拿全局锁的尝试被限制在一定范围内，超出范围将放弃，并回滚本地事务，释放本地锁。

Mysql | 主从复制的工作机制

苏老师的博客

04-09

153

中继日志是从数据库的一个临时日志文件，用于存储主数据库发送过来的Binlog内容。它的作用是解耦从库的IO Thread 与SQL Thread 使这两个线程都可以独立工作。Mysql的主从复制从库主要是读取主库的binlog日志来完成数据同步的, binlog中存储了对数据库所有修改SQL的语句。IO Thread 负责接收主数据的Binlog内容，并写入到中继日志中。SQL Thread 负责读取中继日志并执行其中的SQL语句。

dolphinscheduler单机部署链接oracle

04-07

503

因为小编在网上没找到dolphinscheduler链接oracle数据库的解决案例，专门写这篇文章是解决dolphinscheduler链接oracle数据库

SQL：DDL（数据定义语言）和DML（数据操作语言）

2402_88047672的博客

04-07

908

SQL（Structured Query Language，结构化查询语言）是用来管理数据库的语言。想象数据库就像一个大仓库，里面存放着各种数据（比如顾客信息、商品记录等），而SQL就是你用来“指挥”这个仓库的工具。它可以帮你创建仓库、整理货架、添加货物、查询货物，甚至清空仓库。SQL被分成几大类，其中最基础的两类是DDL和DML。DDL是用来定义数据库“结构”的语言。结构就像是仓库的框架，包括仓库本身、货架（表）、货架上的格子（列）以及索引（方便找东西的标签）。

Java基础第19天-MySQL数据库

2402_82490949的博客

04-08

605

没有索引的时候，mysql查询时会因为全表扫描非常慢，使用索引后，会形成一个索引的数据结构比如二叉树..从而大大缩短查询的时间，索引的代价就是磁盘的占用以及对dml（update delete insert）语句的效率影响。视图是一个虚拟表，其内容由查询定义，同真实的表一样，视图包含列，其数据来自对应的真实表（基表）且可以是多个基表，通过视图可以修改基表的数据，基表的改变也会影响到视图的数据。不同的数据库用户，登录到DBMS后，根据相应的权限，可以操作的数据库和数据对象（表，视图，触发器）都不一样。

Navicat和PLSQL在oracle 使用语句报ORA-00911: 无效字符

琅枫的博客

04-07

184

SQL语句错误，存在中文字符或者sql语句空格导致，去掉即可解决。因为Oracle的语法解析器特别严格，就会报出以上的错误出来。中有中文，但是环境变量未配置中文环境。我重新写语句，发现就可以了。后面我发现可能是在复制。

为什么InnoDB中意向锁IX和IX可以兼容

weixin_43728099的博客

04-06

555

在数据库锁机制中，意向排他锁（IX）之间的兼容性设计是为了提升并发性能，同时确保数据一致性。通过这种机制，数据库既支持高并发写入（如多个事务修改不同行），又能在行级精确管理冲突，是数据库锁设计的精髓之一。若IX锁互斥，即使事务操作不同行，也会因表级锁冲突而串行化，导致并发性能下降。意向锁（Intention Lock）是一种。（如DDL语句），仅用于协调行级锁的冲突。