江泰保险某系统某处设计不当可直接可执行SQL影响账号密码及大量客户保单信息

设计不当

mask 区域

1.http://**.**.**/

分析一处页面,通过抓包可直接执行SQL:

mask 区域

1.http://**.**.**/index/indexTest.jsp

抓包:

条件执行,repeat请求包,去掉条件:

select usercode,password from LDQueryUser&1&0&0

发送得到返回如下:

拿到了大量账号密码:

mask 区域

*****1^522530199603130016|130016^5225011964110*****

截取部分报文尝试登陆:

解决方案:

见上分析

时间: 2024-09-28 23:23:41

江泰保险某系统某处设计不当可直接可执行SQL影响账号密码及大量客户保单信息的相关文章

曝“不买江泰保险取消评优资格”

"被强制"购江泰保险多地存在■有地方曝出"不买江泰保险取消评优资格"■相关部门明确指出旅责险应"不强制.不排他"6日,本报刊发的<旅责险为啥必须投江泰保险?>引发强烈反响.采访中记者了解到,全国不少地区出现当地旅行社被强制购买江泰保险经纪股份有限公司的旅责险.多地出现投江泰保险"通知"2012年12月10日,福建省旅游局下发<关于做好2013年度旅责险统保示范项目的通知>,要求该省已参加2012年统保示

多地旅行社被强制购买江泰保险经纪旅游责任险

"被强制"购江泰保险多地存在■有地方曝出"不买江泰保险取消评优资格"■相关部门明确指出旅责险应"不强制.不排他"6日,本报刊发的<旅责险为啥必须投江泰保险?>引发强烈反响.采访中记者了解到,全国不少地区出现当地旅行社被强制购买江泰保险经纪股份有限公司的旅责险.多地出现投江泰保险"通知"2012年12月10日,福建省旅游局下发<关于做好2013年度旅责险统保示范项目的通知>,要求该省已参加2012年统保示

Win8系统凭据管理器找回网页中保存过的账号密码

  日常生活中,经常需要很多的密码来保护个人的隐私,由于很多账号我们很少登录就会常常忘记密码,甚至无法找回,给很多用户造成很大的困扰.下面小编简单介绍一下Win8系统凭据管理器如何找回网页中保存过的账号密码. 一.在电脑桌面,直接按F3打开搜索,在"所有位置"搜索"凭据管理器",然后打开,如下图所示. 二.单击"web凭据",可以看到各个保存过密码的网址以及账号,如下图所示. 三.单击想要删除保存密码的网址,会弹出输入密码的对话框. 四.然后便可

大型web系统数据缓存设计

1. 前言 在高访问量的web系统中,缓存几乎是离不开的:但是一个适当.高效的缓存方案设计却并不容易:所以接下来将讨论一下应用系统缓存的设计方面应该注意哪些东西,包括缓存的选型.常见缓存系统的特点和数据指标.缓存对象结构设计和失效策略以及缓存对象的压缩等等,以期让有需求的同学尤其是初学者能够快速.系统的了解相关知识. 2. 数据库的瓶颈 2.1 数据量 关系型数据库的数据量是比较小的,以我们常用的MySQL为例,单表数据条数一般应该控制在2000w以内,如果业务很复杂的话,可能还要低一些.即便是

《系统架构:复杂系统的产品设计与开发》——第1章,第1.2节良好架构的优势

1.2良好架构的优势这些复杂的系统能否满足利益相关者的需求并体现出价值?它们是否能够轻松地整合.灵活地进化?它们操作起来是不是很简单,运作得是不是很可靠?架构良好的系统确实是如此. 用最简单的方式来说,架构就是对系统中的实体以及实体之间的关系所进行的抽象描述.在由人类所构建的系统中,架构可以表述为一系列的决策.本书基于这样一个前提:如果我们能够找出使系统架构得以确立的决策点,并谨慎地做出决策,那么系统更有可能取得成功.本书想要把与早期的系统决策有关的经验与分析方式总结出来,并指出这些决策之间的共

保监会鼓励保险经纪上市融资 江泰经纪或先行上市

1月6日召开的"2010年中国保险经纪年会"显示,自2000年保监会首度批准设立三家全国性保险经纪公司,10年来,国内保险经纪公司数量已增长到300多家,但经纪公司对全国保费的贡献度却未出现相应大规模增长,通过经纪渠道实现的保费收入仅占总保费收入的2%左右. 与之对应的是,虽然经纪人在重大项目中出现频率越来越高,但投保人和保险公司对保险经纪行业的认知度仍未达到理想高度,经纪公司仍以佣金作为主要收入来源,经纪人应发挥的风险管理职能几乎空白. 同时,资本约束也影响到保险经纪公司的扩张和人才

江泰保险经纪十年磨一剑目标锁定明年下半年上市

今年的端午节对江泰经纪股份公司而言是个不平凡的日子.昨日,江泰保险经纪度过了十周岁生日.董事长沈开涛在回顾十年的历程后,明确提出下一个十年发展规划,确定公司近两年的A股上市规划. "计划在今年下半年通过公开市场竞标,选择包括投行.会计师事务所.律师事务所等中介服务机构.明年根据公司发展速度.效益情况,并征询中介 意见,确定上报上市方案的时间.我们希望争取在明年下半年完成上报任务",沈开涛有问必答,十分坦诚. 他还透露,上市前公司将吸引战略投资者和财务投资者,目标锁定在公司股东和客户身上

用户体验设计:tagging系统及其UI设计

http://piglili.blogbus.com/logs/45219030.html 背景:在一次关于收藏夹tag功能的讨论会上,众人就tagging的意义展开了激烈讨论.为将思路结构化,特写此文分别论述:1. tag有用吗?:2. tagging的利与弊:3.tagging系统及其UI设计.较为枯燥,算是一个知识点的梳理吧. 1. tag有用吗?  tag 随着web2.0而流行,已有7年历史(Keller, P. 2007).tagging成为各大网站常见功能,但系统地使用它的人多吗?

公交车路线查询系统后台数据库设计——关联地名和站点

在<公交车路线查询系统后台数据库设计--查询算法>一文中,已经实现了查询站点到站点的路线 查询算法,但是,现实中用户不一定使用站点进行查询,而是使用地名.因此,公交车查询系统数据库必 需记录地名与站点的对应关系,在查询时将地名映射为站点.根据实际情况,某一地点附近通常有几个站 点,因此,地名与站点之间是多对多的关系.显然,只需创建一个地名站点关系表stop_spot(Stop,Spot) 用于储存这个关系即可.数据库关系图如下: 注: Route:路线表 Stop:站点表 Spot:地名表 s