漏洞描述
东胜物流信息管理系统打破传统的“手动”对账模式,转变为通过技术手段将月结账单自动发送给客户,供应商对账单可以一键引入系统并自动校验金额和主提单号,出对账结果,提高对账人员的工作效率,减少对账误差。攻击者未经授权可以访问数据库中的数据,盗取用户的隐私以及个人信息,造成用户的信息泄露。可以对数据库的数据进行增加或删除操作,例如私自添加或删除管理员账号。如果网站目录存在写入权限,可以写入网页木马。攻击者进而可以对网页进行篡改,发布一些违法信息等。 经过提权等步骤,服务器最高权限被攻击者获取。攻击者可以远程控制服务器,安装后门,得以修改或控制操作系统。