文章目录
[+]
2月27日,国家信息安全漏洞共享平台(CNVD)的漏洞列表收录了两个新的SQL注入漏洞——CNVD-2019-04308和CNVD-2019-05341。根据CNVD公布的信息来看,这两个漏洞的危害级别均被评定为“高”,且为攻击者获取数据库敏感信息创造了条件。
所谓SQL注入,便是通过把SQL命令插入到Web表单提交或输入域名或页面要求的查询字符串,终极达到欺骗做事器以实行恶意SQL命令的目的。详细来说,它是利用现有运用程序,将恶意SQL命令注入到后台数据库引擎实行的能力,它可以通过在Web表单中输入恶意SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去实行SQL语句。
从漏洞描述我们得知,这两个漏洞分别会影响到海内两家网络公司的建站系统——济南白菜网络技能有限公司(一家致力于互联网品牌培植与网络营销的公司)和中山市商友网络科技有限公司(一家从事网站培植、技能外包、WAP手机网站培植、微信及小程序定制开拓、系统UI及平面设计、PHP系统开拓、网易企业邮箱的公司)。
(图片来自网络侵删)
“济南白菜网络技能有限公司建站系统sh.php和ne.php页面存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。”CNVD在漏洞描述中写道,“中山市商友网络科技有限公司建站系统存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。”
值得把稳的是,CNVD表示它已确认并复现了其所述的情形,且已通过电子邮件向受漏洞的两家公司进行了通报,但到目前为止这两家公司尚没有发布干系的办理方案或补丁。
