admin/wxvl
1
0
Fork 0
mirror of https://github.com/gelusus/wxvl.git synced 2025-07-29 22:14:41 +00:00
Code Issues Packages Projects Releases Wiki Activity
wxvl/doc/2024-12/9.9分的SQL注入漏洞,可获admin权限.md

84 lines
4.1 KiB
Markdown
Raw Permalink Normal View History

9.9分的SQL注入漏洞,可获admin权限、知道创宇与《中国企业报》集团深入交流,共谋数字安全合作新篇章、大众车机系统现漏洞:黑客能获取GPS等隐私,已修复、“AI+Security”系列第4期(三):基于大模型的漏洞挖掘技术与实践、【漏洞通告】libxml2 XML外部实体注入漏洞(CVE-2024-40896)、PWN入门:三打竞态条件漏洞-TOCTOU、系统0day安全-Windows平台漏洞挖掘(第5期)、创宇安全智脑 | 泛微e-cology 9 FileDownloadLocation SQL 注入等69个漏洞可检测、奇安信两方案荣膺中国信通院“磐安”优秀案例、操作系统主机安全测试:脆弱点与漏洞分析、【PoC】CVE-2024-50379 (9.8)Tomcat竞态条件漏洞深度分析及 PoC、锐捷云管理平台曝严重漏洞:可从云端劫持WiFi热点、从SRC漏洞挖掘到红队综合利用的思路转变、基于UEBA的零信任安全体系架构设计与实现、易宝OA GetUDEFStreamID SQL注入漏洞、
2024-12-26 12:19:51 +00:00
# 9.9分的SQL注入漏洞可获admin权限
流苏 FreeBuf 2024-12-26 11:02
![](https://mmbiz.qpic.cn/mmbiz_gif/qq5rfBadR38jUokdlWSNlAjmEsO1rzv3srXShFRuTKBGDwkj4gvYy34iajd6zQiaKl77Wsy9mjC0xBCRg0YgDIWg/640?wx_fmt=gif&wxfrom=5&wx_lazy=1&tp=webp "")
![](https://mmbiz.qpic.cn/mmbiz_jpg/qq5rfBadR3ic5icaZr7IGkVcd3DT6vXW4BTf454ickgriaQ9Rtgic8xpABjDd69H1rQMcYQMaBUqkVArukianfLsu7eA/640?wx_fmt=jpeg&from=appmsg "")
Apache软件基金会ASF已发布安全更新修复了Traffic Control中的一个关键安全漏洞。若此漏洞被成功利用攻击者便能在数据库中执行任意结构化查询语言SQL命令。该SQL注入漏洞被标识为CVE-2024-45387在CVSS评分系统中获得了9.9分满分为10分
![](https://mmbiz.qpic.cn/mmbiz_jpg/qq5rfBadR3ic5icaZr7IGkVcd3DT6vXW4Bw8G6vPGXr7q0JhjQ5brBicibicNYUuzDMLTHJXWic62PeFFgDrXiacribuMA/640?wx_fmt=jpeg&from=appmsg "")
项目维护人员在公告里指出“Apache Traffic Control在8.0.0版本至8.0.1版本包含这两个版本的Traffic Ops中存在一个SQL注入漏洞拥有admin、federation、operations、portal或者steering角色的特权用户可通过发送特制的PUT请求来执行任意SQL语句。”
Apache Traffic Control属于开源的内容分发网络CDN实现项目。2018年6月该项目被宣布为顶级项目TLP
与此同时ASF还解决了Apache HugeGraph - Server在1.0版本到1.3版本中存在的身份验证绕过漏洞CVE - 2024 - 43441其修复补丁已在1.5.0版本发布。ASF也发布了Apache Tomcat中的一个重要漏洞CVE - 2024 - 56337的补丁此漏洞在某些条件下可能引发远程代码执行RCE建议用户将软件实例更新至最新版本以抵御潜在威胁。
SQL注入攻击是一种常见的网络攻击手段攻击者通过在输入字段中插入恶意SQL代码试图欺骗应用程序以执行不安全的数据库操作。
### 检测SQL注入攻击的方法
- 输入检查对用户输入进行充分的验证和转义防止恶意的SQL代码被执行。
- 日志分析分析应用程序的访问日志检测异常的URL、异常的用户行为等。
- 数据库监控:监视数据库的活动,检测异常的查询和操作。
- 漏洞扫描使用漏洞扫描工具检测应用程序中的安全漏洞包括SQL注入漏洞。
- Web应用程序防火墙监控应用程序的流量检测和阻止SQL注入攻击。
###
### 防御SQL注入攻击的措施
- 使用预编译语句和参数化查询这是防止SQL注入的最有效方法之一通过使用占位符而不是直接拼接字符串来构建SQL命令。
- 输入验证:检查用户输入的合法性,确信输入的内容只包含合法的数据。
- 错误消息处理:避免出现详细的错误消息,因为黑客们可以利用这些消息。
- 最小权限原则:为数据库账号分配最小必要的权限,即使存在注入漏洞,攻击者也无法执行高风险操作。
FreeBuf粉丝交流群招新啦
在这里,拓宽网安边界
甲方安全建设干货;
乙方最新技术理念;
全球最新的网络安全资讯;
群内不定期开启各种抽奖活动;
FreeBuf盲盒、大象公仔......
扫码添加小蜜蜂微信回复「加群」,申请加入群聊】
![](https://mmbiz.qpic.cn/mmbiz_jpg/qq5rfBadR3ich6ibqlfxbwaJlDyErKpzvETedBHPS9tGHfSKMCEZcuGq1U1mylY7pCEvJD9w60pWp7NzDjmM2BlQ/640?wx_fmt=other&wxfrom=5&wx_lazy=1&wx_co=1&retryload=2&tp=webp "")
![](https://mmbiz.qpic.cn/mmbiz_png/qq5rfBadR3ic5icaZr7IGkVcd3DT6vXW4B4LOZ1M7YkTPhS1AT2DQJaicFjtCxt5BRO7p5AOJqvH3EJABCd0BFqYQ/640?wx_fmt=png&from=appmsg "")
[](https://mp.weixin.qq.com/s?__biz=MjM5NjA0NjgyMA==&mid=2651253272&idx=1&sn=82468d927062b7427e3ca8a912cb2dc7&scene=21#wechat_redirect)
![](https://mmbiz.qpic.cn/mmbiz_gif/qq5rfBadR3icF8RMnJbsqatMibR6OicVrUDaz0fyxNtBDpPlLfibJZILzHQcwaKkb4ia57xAShIJfQ54HjOG1oPXBew/640?wx_fmt=gif&wxfrom=5&wx_lazy=1&tp=webp "")
Reference in New Issue Copy Permalink