HOME 首頁(yè)
SERVICE 服務(wù)產(chǎn)品
XINMEITI 新媒體代運(yùn)營(yíng)
CASE 服務(wù)案例
NEWS 熱點(diǎn)資訊
ABOUT 關(guān)于我們
CONTACT 聯(lián)系我們
創(chuàng)意嶺
讓品牌有溫度、有情感
專注品牌策劃15年

    cve的sql注入漏洞(sql注入漏洞掃描)

    發(fā)布時(shí)間:2023-04-18 16:33:52     稿源: 創(chuàng)意嶺    閱讀: 116        

    大家好!今天讓創(chuàng)意嶺的小編來(lái)大家介紹下關(guān)于cve的sql注入漏洞的問(wèn)題,以下是小編對(duì)此問(wèn)題的歸納整理,讓我們一起來(lái)看看吧。

    開(kāi)始之前先推薦一個(gè)非常厲害的Ai人工智能工具,一鍵生成原創(chuàng)文章、方案、文案、工作計(jì)劃、工作報(bào)告、論文、代碼、作文、做題和對(duì)話答疑等等

    只需要輸入關(guān)鍵詞,就能返回你想要的內(nèi)容,越精準(zhǔn),寫(xiě)出的就越詳細(xì),有微信小程序端、在線網(wǎng)頁(yè)版、PC客戶端

    官網(wǎng):https://ai.de1919.com

    創(chuàng)意嶺作為行業(yè)內(nèi)優(yōu)秀的企業(yè),服務(wù)客戶遍布全球各地,如需了解SEO相關(guān)業(yè)務(wù)請(qǐng)撥打電話175-8598-2043,或添加微信:1454722008

    本文目錄:

    cve的sql注入漏洞(sql注入漏洞掃描)

    一、SQL注入的特點(diǎn)與危害分別有哪些

    1、廣泛性:任何一個(gè)基于SQL語(yǔ)言的數(shù)據(jù)庫(kù)都可能被攻擊,很多開(kāi)發(fā)人員在編寫(xiě)Web應(yīng)用程序時(shí)未對(duì)從輸入?yún)?shù)、Web表單、Cookie等接收到的值進(jìn)行規(guī)范性驗(yàn)證和檢測(cè),通常會(huì)出現(xiàn)SQL注入漏洞。

    2、隱蔽性:SQL注入語(yǔ)句一般都嵌入在普通的HTPP請(qǐng)求中,很難與正常語(yǔ)句區(qū)分開(kāi),所以當(dāng)前許多防火墻都無(wú)法識(shí)別予以警告,而且SQL注入變種極多,攻擊者可以調(diào)整攻擊的參數(shù),所以使用傳統(tǒng)的方法防御SQL注入效果非常不理想。

    3、危害大:攻擊者可以通過(guò)SQL注入獲取到服務(wù)器的庫(kù)名、表名、字段名,從而獲取到整個(gè)服務(wù)器中的數(shù)據(jù),對(duì)網(wǎng)站用戶的數(shù)據(jù)安全有極大的威脅。攻擊者也可以通過(guò)獲取到的數(shù)據(jù),得到后臺(tái)管理員的密碼,然后對(duì)網(wǎng)頁(yè)頁(yè)面進(jìn)行惡意篡改。這樣不僅對(duì)數(shù)據(jù)庫(kù)信息安全造成嚴(yán)重威脅,對(duì)整個(gè)數(shù)據(jù)庫(kù)系統(tǒng)安全也有很大的影響。

    4、操作方便:互聯(lián)網(wǎng)上有很多SQL注入工具,簡(jiǎn)單易學(xué)、攻擊過(guò)程簡(jiǎn)單,不需要專業(yè)的知識(shí)也可以自如運(yùn)用。

    二、滲透測(cè)試應(yīng)該怎么做呢?

    01、信息收集

    1、域名、IP、端口

    域名信息查詢:信息可用于后續(xù)滲透

    IP信息查詢:確認(rèn)域名對(duì)應(yīng)IP,確認(rèn)IP是否真實(shí),確認(rèn)通信是否正常

    端口信息查詢:NMap掃描,確認(rèn)開(kāi)放端口

    發(fā)現(xiàn):一共開(kāi)放兩個(gè)端口,80為web訪問(wèn)端口,3389為windows遠(yuǎn)程登陸端口,嘿嘿嘿,試一下

    發(fā)現(xiàn):是Windows Server 2003系統(tǒng),OK,到此為止。

    2、指紋識(shí)別

    其實(shí)就是網(wǎng)站的信息。比如通過(guò)可以訪問(wèn)的資源,如網(wǎng)站首頁(yè),查看源代碼:

    看看是否存在文件遍歷的漏洞(如圖片路徑,再通過(guò)…/遍歷文件)

    是否使用了存在漏洞的框架(如果沒(méi)有現(xiàn)成的就自己挖)

    02、漏洞掃描

    1、主機(jī)掃描

    Nessus

    經(jīng)典主機(jī)漏掃工具,看看有沒(méi)有CVE漏洞:

    2、Web掃描

    AWVS(Acunetix | Website Security Scanner)掃描器

    PS:掃描器可能會(huì)對(duì)網(wǎng)站構(gòu)成傷害,小心謹(jǐn)慎使用。

    03、滲透測(cè)試

    1、弱口令漏洞

    漏洞描述

    目標(biāo)網(wǎng)站管理入口(或數(shù)據(jù)庫(kù)等組件的外部連接)使用了容易被猜測(cè)的簡(jiǎn)單字符口令、或者是默認(rèn)系統(tǒng)賬號(hào)口令。

    滲透測(cè)試

    ① 如果不存在驗(yàn)證碼,則直接使用相對(duì)應(yīng)的弱口令字典使用burpsuite 進(jìn)行爆破

    ② 如果存在驗(yàn)證碼,則看驗(yàn)證碼是否存在繞過(guò)、以及看驗(yàn)證碼是否容易識(shí)別

    風(fēng)險(xiǎn)評(píng)級(jí):高風(fēng)險(xiǎn)

    安全建議

    ① 默認(rèn)口令以及修改口令都應(yīng)保證復(fù)雜度,比如:大小寫(xiě)字母與數(shù)字或特殊字符的組合,口令長(zhǎng)度不小于8位等

    ② 定期檢查和更換網(wǎng)站管理口令

    2、文件下載(目錄瀏覽)漏洞

    漏洞描述

    一些網(wǎng)站由于業(yè)務(wù)需求,可能提供文件查看或下載的功能,如果對(duì)用戶查看或下載的文件不做限制,則惡意用戶就能夠查看或下載任意的文件,可以是源代碼文件、敏感文件等。

    滲透測(cè)試

    ① 查找可能存在文件包含的漏洞點(diǎn),比如js,css等頁(yè)面代碼路徑

    ② 看看有沒(méi)有文件上傳訪問(wèn)的功能

    ③ 采用…/來(lái)測(cè)試能否夸目錄訪問(wèn)文件

    風(fēng)險(xiǎn)評(píng)級(jí):高風(fēng)險(xiǎn)

    安全建議

    ① 采用白名單機(jī)制限制服務(wù)器目錄的訪問(wèn),以及可以訪問(wèn)的文件類型(小心被繞過(guò))

    ② 過(guò)濾【./】等特殊字符

    ③ 采用文件流的訪問(wèn)返回上傳文件(如用戶頭像),不要通過(guò)真實(shí)的網(wǎng)站路徑。

    示例:tomcat,默認(rèn)關(guān)閉路徑瀏覽的功能:

    <param-name>listings</param-name>

    <param-value>false</param-value>

    3、任意文件上傳漏洞

    漏洞描述

    目標(biāo)網(wǎng)站允許用戶向網(wǎng)站直接上傳文件,但未對(duì)所上傳文件的類型和內(nèi)容進(jìn)行嚴(yán)格的過(guò)濾。

    滲透測(cè)試

    ① 收集網(wǎng)站信息,判斷使用的語(yǔ)言(PHP,ASP,JSP)

    ② 過(guò)濾規(guī)則繞過(guò)方法:文件上傳繞過(guò)技巧

    風(fēng)險(xiǎn)評(píng)級(jí):高風(fēng)險(xiǎn)

    安全建議

    ① 對(duì)上傳文件做有效文件類型判斷,采用白名單控制的方法,開(kāi)放只允許上傳的文件型式;

    ② 文件類型判斷,應(yīng)對(duì)上傳文件的后綴、文件頭、圖片類的預(yù)覽圖等做檢測(cè)來(lái)判斷文件類型,同時(shí)注意重命名(Md5加密)上傳文件的文件名避免攻擊者利用WEB服務(wù)的缺陷構(gòu)造畸形文件名實(shí)現(xiàn)攻擊目的;

    ③ 禁止上傳目錄有執(zhí)行權(quán)限;

    ④ 使用隨機(jī)數(shù)改寫(xiě)文件名和文件路徑,使得用戶不能輕易訪問(wèn)自己上傳的文件。

    4、命令注入漏洞

    漏洞描述

    目標(biāo)網(wǎng)站未對(duì)用戶輸入的字符進(jìn)行特殊字符過(guò)濾或合法性校驗(yàn),允許用戶輸入特殊語(yǔ)句,導(dǎo)致各種調(diào)用系統(tǒng)命令的web應(yīng)用,會(huì)被攻擊者通過(guò)命令拼接、繞過(guò)黑名單等方式,在服務(wù)端運(yùn)行惡意的系統(tǒng)命令。

    滲透測(cè)試

    風(fēng)險(xiǎn)評(píng)級(jí):高風(fēng)險(xiǎn)

    安全建議

    ① 拒絕使用拼接語(yǔ)句的方式進(jìn)行參數(shù)傳遞;

    ② 盡量使用白名單的方式(首選方式);

    ③ 過(guò)濾危險(xiǎn)方法、特殊字符,如:【|】【&】【;】【’】【"】等

    5、SQL注入漏洞

    漏洞描述

    目標(biāo)網(wǎng)站未對(duì)用戶輸入的字符進(jìn)行特殊字符過(guò)濾或合法性校驗(yàn),允許用戶輸入特殊語(yǔ)句查詢后臺(tái)數(shù)據(jù)庫(kù)相關(guān)信息

    滲透測(cè)試

    ① 手動(dòng)測(cè)試:判斷是否存在SQL注入,判斷是字符型還是數(shù)字型,是否需要盲注

    ② 工具測(cè)試:使用sqlmap等工具進(jìn)行輔助測(cè)試

    風(fēng)險(xiǎn)評(píng)級(jí):高風(fēng)險(xiǎn)

    安全建議

    ① 防范SQL注入攻擊的最佳方式就是將查詢的邏輯與其數(shù)據(jù)分隔,如Java的預(yù)處理,PHP的PDO

    ② 拒絕使用拼接SQL的方式

    6、跨站腳本漏洞

    漏洞描述

    當(dāng)應(yīng)用程序的網(wǎng)頁(yè)中包含不受信任的、未經(jīng)恰當(dāng)驗(yàn)證或轉(zhuǎn)義的數(shù)據(jù)時(shí),或者使用可以創(chuàng)建 HTML或JavaScript 的瀏覽器 API 更新現(xiàn)有的網(wǎng)頁(yè)時(shí),就會(huì)出現(xiàn) XSS 缺陷。XSS 讓攻擊者能夠在受害者的瀏覽器中執(zhí)行腳本,并劫持用戶會(huì)話、破壞網(wǎng)站或?qū)⒂脩糁囟ㄏ虻綈阂庹军c(diǎn)。

    三種XSS漏洞:

    ① 存儲(chǔ)型:用戶輸入的信息被持久化,并能夠在頁(yè)面顯示的功能,都可能存在存儲(chǔ)型XSS,例如用戶留言、個(gè)人信息修改等。

    ② 反射型:URL參數(shù)需要在頁(yè)面顯示的功能都可能存在反射型跨站腳本攻擊,例如站內(nèi)搜索、查詢功能。

    ③ DOM型:涉及DOM對(duì)象的頁(yè)面程序,包括:document.URL、document.location、document.referrer、window.location等

    滲透測(cè)試

    存儲(chǔ)型,反射型,DOM型

    風(fēng)險(xiǎn)評(píng)級(jí):高風(fēng)險(xiǎn)

    安全建議

    ① 不信任用戶提交的任何內(nèi)容,對(duì)用戶輸入的內(nèi)容,在后臺(tái)都需要進(jìn)行長(zhǎng)度檢查,并且對(duì)【<】【>】【"】【’】【&】等字符做過(guò)濾

    ② 任何內(nèi)容返回到頁(yè)面顯示之前都必須加以html編碼,即將【<】【>】【"】【’】【&】進(jìn)行轉(zhuǎn)義。

    7、跨站請(qǐng)求偽造漏洞

    漏洞描述

    CSRF,全稱為Cross-Site Request Forgery,跨站請(qǐng)求偽造,是一種網(wǎng)絡(luò)攻擊方式,它可以在用戶毫不知情的情況下,以用戶的名義偽造請(qǐng)求發(fā)送給被攻擊站點(diǎn),從而在未授權(quán)的情況下進(jìn)行權(quán)限保護(hù)內(nèi)的操作,如修改密碼,轉(zhuǎn)賬等。

    滲透測(cè)試

    風(fēng)險(xiǎn)評(píng)級(jí):中風(fēng)險(xiǎn)(如果相關(guān)業(yè)務(wù)極其重要,則為高風(fēng)險(xiǎn))

    安全建議

    ① 使用一次性令牌:用戶登錄后產(chǎn)生隨機(jī)token并賦值給頁(yè)面中的某個(gè)Hidden標(biāo)簽,提交表單時(shí)候,同時(shí)提交這個(gè)Hidden標(biāo)簽并驗(yàn)證,驗(yàn)證后重新產(chǎn)生新的token,并賦值給hidden標(biāo)簽;

    ② 適當(dāng)場(chǎng)景添加驗(yàn)證碼輸入:每次的用戶提交都需要用戶在表單中填寫(xiě)一個(gè)圖片上的隨機(jī)字符串;

    ③ 請(qǐng)求頭Referer效驗(yàn),url請(qǐng)求是否前部匹配Http(s)😕/ServerHost

    ④ 關(guān)鍵信息輸入確認(rèn)提交信息的用戶身份是否合法,比如修改密碼一定要提供原密碼輸入

    ⑤ 用戶自身可以通過(guò)在瀏覽其它站點(diǎn)前登出站點(diǎn)或者在瀏覽器會(huì)話結(jié)束后清理瀏覽器的cookie;

    8、內(nèi)部后臺(tái)地址暴露

    漏洞描述

    一些僅被內(nèi)部訪問(wèn)的地址,對(duì)外部暴露了,如:管理員登陸頁(yè)面;系統(tǒng)監(jiān)控頁(yè)面;API接口描述頁(yè)面等,這些會(huì)導(dǎo)致信息泄露,后臺(tái)登陸等地址還可能被爆破。

    滲透測(cè)試

    ① 通過(guò)常用的地址進(jìn)行探測(cè),如login.html,manager.html,api.html等;

    ② 可以借用burpsuite和常規(guī)頁(yè)面地址字典,進(jìn)行掃描探測(cè)

    風(fēng)險(xiǎn)評(píng)級(jí):中風(fēng)險(xiǎn)

    安全建議

    ① 禁止外網(wǎng)訪問(wèn)后臺(tái)地址

    ② 使用非常規(guī)路徑(如對(duì)md5加密)

    9、信息泄露漏洞

    漏洞描述

    ① 備份信息泄露:目標(biāo)網(wǎng)站未及時(shí)刪除編輯器或者人員在編輯文件時(shí),產(chǎn)生的臨時(shí)文件,或者相關(guān)備份信息未及時(shí)刪除導(dǎo)致信息泄露。

    ② 測(cè)試頁(yè)面信息泄露:測(cè)試界面未及時(shí)刪除,導(dǎo)致測(cè)試界面暴露,被他人訪問(wèn)。

    ③ 源碼信息泄露:目標(biāo)網(wǎng)站文件訪問(wèn)控制設(shè)置不當(dāng),WEB服務(wù)器開(kāi)啟源碼下載功能,允許用戶訪問(wèn)網(wǎng)站源碼。

    ④ 錯(cuò)誤信息泄露:目標(biāo)網(wǎng)站W(wǎng)EB程序和服務(wù)器未屏蔽錯(cuò)誤信息回顯,頁(yè)面含有CGI處理錯(cuò)誤的代碼級(jí)別的詳細(xì)信息,例如SQL語(yǔ)句執(zhí)行錯(cuò)誤原因,PHP的錯(cuò)誤行數(shù)等。

    ⑤ 接口信息泄露:目標(biāo)網(wǎng)站接口訪問(wèn)控制不嚴(yán),導(dǎo)致網(wǎng)站內(nèi)部敏感信息泄露。

    滲透測(cè)試

    ① 備份信息泄露、測(cè)試頁(yè)面信息泄露、源碼信息泄露,測(cè)試方法:使用字典,爆破相關(guān)目錄,看是否存在相關(guān)敏感文件

    ② 錯(cuò)誤信息泄露,測(cè)試方法:發(fā)送畸形的數(shù)據(jù)報(bào)文、非正常的報(bào)文進(jìn)行探測(cè),看是否對(duì)錯(cuò)誤參數(shù)處理妥當(dāng)。

    ③ 接口信息泄露漏洞,測(cè)試方法:使用爬蟲(chóng)或者掃描器爬取獲取接口相關(guān)信息,看目標(biāo)網(wǎng)站對(duì)接口權(quán)限是否合理

    風(fēng)險(xiǎn)評(píng)級(jí):一般為中風(fēng)險(xiǎn),如果源碼大量泄漏或大量客戶敏感信息泄露。

    安全建議

    ① 備份信息泄露漏洞:刪除相關(guān)備份信息,做好權(quán)限控制

    ② 測(cè)試頁(yè)面信息泄露漏洞:刪除相關(guān)測(cè)試界面,做好權(quán)限控制

    ③ 源碼信息泄露漏洞:做好權(quán)限控制

    ④ 錯(cuò)誤信息泄露漏洞:將錯(cuò)誤信息對(duì)用戶透明化,在CGI處理錯(cuò)誤后可以返回友好的提示語(yǔ)以及返回碼。但是不可以提示用戶出錯(cuò)的代碼級(jí)別的詳細(xì)原因

    ⑤ 接口信息泄露漏洞:對(duì)接口訪問(wèn)權(quán)限嚴(yán)格控制

    10、失效的身份認(rèn)證

    漏洞描述

    通常,通過(guò)錯(cuò)誤使用應(yīng)用程序的身份認(rèn)證和會(huì)話管理功能,攻擊者能夠破譯密碼、密鑰或會(huì)話令牌, 或者利用其它開(kāi)發(fā)缺陷來(lái)暫時(shí)性或永久性冒充其他用戶的身份。

    滲透測(cè)試

    ① 在登陸前后觀察,前端提交信息中,隨機(jī)變化的數(shù)據(jù),總有與當(dāng)前已登陸用戶進(jìn)行綁定的會(huì)話唯一標(biāo)識(shí),常見(jiàn)如cookie

    ② 一般現(xiàn)在網(wǎng)站沒(méi)有那種簡(jiǎn)單可綠色的標(biāo)識(shí),但是如果是跨站認(rèn)證,單點(diǎn)登錄場(chǎng)景中,可能為了開(kāi)發(fā)方便而簡(jiǎn)化了身份認(rèn)證

    風(fēng)險(xiǎn)評(píng)級(jí):高風(fēng)險(xiǎn)

    安全建議

    ① 使用強(qiáng)身份識(shí)別,不使用簡(jiǎn)單弱加密方式進(jìn)行身份識(shí)別;

    ② 服務(wù)器端使用安全的會(huì)話管理器,在登錄后生成高度復(fù)雜的新隨機(jī)會(huì)話ID。會(huì)話ID不能在URL中,可以安全地存儲(chǔ),在登出、閑置超時(shí)后使其失效。

    11、失效的訪問(wèn)控制

    漏洞描述

    未對(duì)通過(guò)身份驗(yàn)證的用戶實(shí)施恰當(dāng)?shù)脑L問(wèn)控制。攻擊者可以利用這些缺陷訪問(wèn)未經(jīng)授權(quán)的功能或數(shù)據(jù),例如:訪問(wèn)其他用戶的帳戶、查看敏感文件、修改其他用戶的數(shù)據(jù)、更改訪問(wèn)權(quán)限等。

    滲透測(cè)試

    ① 登入后,通過(guò)burpsuite 抓取相關(guān)url 鏈接,獲取到url 鏈接之后,在另一個(gè)瀏覽器打開(kāi)相關(guān)鏈接,看能夠通過(guò)另一個(gè)未登入的瀏覽器直接訪問(wèn)該功能點(diǎn)。

    ② 使用A用戶登陸,然后在另一個(gè)瀏覽器使用B用戶登陸,使用B訪問(wèn)A獨(dú)有的功能,看能否訪問(wèn)。

    風(fēng)險(xiǎn)評(píng)級(jí):高風(fēng)險(xiǎn)

    安全建議

    ① 除公有資源外,默認(rèn)情況下拒絕訪問(wèn)非本人所有的私有資源;

    ② 對(duì)API和控制器的訪問(wèn)進(jìn)行速率限制,以最大限度地降低自動(dòng)化攻擊工具的危害;

    ③ 當(dāng)用戶注銷后,服務(wù)器上的Cookie,JWT等令牌應(yīng)失效;

    ④ 對(duì)每一個(gè)業(yè)務(wù)請(qǐng)求,都進(jìn)行權(quán)限校驗(yàn)。

    12、安全配置錯(cuò)誤

    漏洞描述

    應(yīng)用程序缺少適當(dāng)?shù)陌踩庸蹋蛘咴品?wù)的權(quán)限配置錯(cuò)誤。

    ① 應(yīng)用程序啟用或安裝了不必要的功能(例如:不必要的端口、服務(wù)、網(wǎng)頁(yè)、帳戶或權(quán)限)。

    ② 默認(rèn)帳戶的密碼仍然可用且沒(méi)有更改。

    ③ 錯(cuò)誤處理機(jī)制向用戶披露堆棧跟蹤或其他大量錯(cuò)誤信息。

    ④ 對(duì)于更新的系統(tǒng),禁用或不安全地配置最新的安全功能。

    ⑤ 應(yīng)用程序服務(wù)器、應(yīng)用程序框架(如:Struts、Spring、ASP.NET)、庫(kù)文件、數(shù)據(jù)庫(kù)等沒(méi)有進(jìn)行相關(guān)安全配置。

    滲透測(cè)試

    先對(duì)應(yīng)用指紋等進(jìn)行信息搜集,然后針對(duì)搜集的信息,看相關(guān)應(yīng)用默認(rèn)配置是否有更改,是否有加固過(guò);端口開(kāi)放情況,是否開(kāi)放了多余的端口;

    風(fēng)險(xiǎn)評(píng)級(jí):中風(fēng)險(xiǎn)

    安全建議

    搭建最小化平臺(tái),該平臺(tái)不包含任何不必要的功能、組件、文檔和示例。移除或不安裝不適用的功能和框架。在所有環(huán)境中按照標(biāo)準(zhǔn)的加固流程進(jìn)行正確安全配置。

    13、使用含有已知漏洞的組件

    漏洞描述

    使用了不再支持或者過(guò)時(shí)的組件。這包括:OS、Web服務(wù)器、應(yīng)用程序服務(wù)器、數(shù)據(jù)庫(kù)管理系統(tǒng)(DBMS)、應(yīng)用程序、API和所有的組件、運(yùn)行環(huán)境和庫(kù)。

    滲透測(cè)試

    ① 根據(jù)前期信息搜集的信息,查看相關(guān)組件的版本,看是否使用了不在支持或者過(guò)時(shí)的組件。一般來(lái)說(shuō),信息搜集,可通過(guò)http返回頭、相關(guān)錯(cuò)誤信息、應(yīng)用指紋、端口探測(cè)(Nmap)等手段搜集。

    ② Nmap等工具也可以用于獲取操作系統(tǒng)版本信息

    ③ 通過(guò)CVE,CNVD等平臺(tái)可以獲取當(dāng)前組件版本是否存在漏洞

    風(fēng)險(xiǎn)評(píng)級(jí):按照存在漏洞的組件的安全風(fēng)險(xiǎn)值判定當(dāng)前風(fēng)險(xiǎn)。

    安全建議

    ① 移除不使用的依賴、不需要的功能、組件、文件和文檔;

    ② 僅從官方渠道安全的獲取組件(盡量保證是最新版本),并使用簽名機(jī)制來(lái)降低組件被篡改或加入惡意漏洞的風(fēng)險(xiǎn);

    ③ 監(jiān)控那些不再維護(hù)或者不發(fā)布安全補(bǔ)丁的庫(kù)和組件。如果不能打補(bǔ)丁,可以考慮部署虛擬補(bǔ)丁來(lái)監(jiān)控、檢測(cè)或保護(hù)。

    詳細(xì)學(xué)習(xí)可參考:

    三、投標(biāo)系統(tǒng)上傳文件提示疑似sql注入攻擊怎么解決

    投標(biāo)系統(tǒng)上傳文件提示疑似sql注入攻擊可以用弱口令漏洞解決。根據(jù)相關(guān)公開(kāi)信息查詢,使用至少6位的數(shù)字、字母及特殊字符組合作為密碼。數(shù)據(jù)庫(kù)不要存儲(chǔ)明文密碼,應(yīng)存儲(chǔ)加密后的密文。

    四、在java中的鏈接數(shù)據(jù)庫(kù)中什么是SQL的注入漏洞?請(qǐng)簡(jiǎn)單介紹下。

    隨著B(niǎo)/S模式應(yīng)用開(kāi)發(fā)的發(fā)展,使用這種模式編寫(xiě)應(yīng)用程序的程序員也越來(lái)越多。但是由于程序員的水平及經(jīng)驗(yàn)也參差不齊,相當(dāng)大一部分程序員在編寫(xiě)代碼的時(shí)候,沒(méi)有對(duì)用戶輸入數(shù)據(jù)的合法性進(jìn)行判斷,使應(yīng)用程序存在安全隱患。用戶可以提交一段數(shù)據(jù)庫(kù)查詢代碼,根

    據(jù)程序返回的結(jié)果,獲得某些他想得知的數(shù)據(jù),這就是所謂的SQL Injection,即SQL注入。

    以上就是關(guān)于cve的sql注入漏洞相關(guān)問(wèn)題的回答。希望能幫到你,如有更多相關(guān)問(wèn)題,您也可以聯(lián)系我們的客服進(jìn)行咨詢,客服也會(huì)為您講解更多精彩的知識(shí)和內(nèi)容。


    推薦閱讀:

    cve的sql注入(esapi sql注入)

    cve的sql注入漏洞(sql注入漏洞掃描)

    游戲王ARC-V在線播放(游戲王arcv在線播放PPTV)

    杭州精卓自動(dòng)化設(shè)備有限公司(杭州精卓自動(dòng)化設(shè)備有限公司招聘)

    蚌埠現(xiàn)代庭院景觀設(shè)計(jì)(蚌埠現(xiàn)代庭院景觀設(shè)計(jì)圖)