Drupal 7.31版本爆严重SQL注入漏洞 安全狗可守护

最新推荐文章于 2024-05-30 16:43:04 发布
最新推荐文章于 2024-05-30 16:43:04 发布
阅读量199 收藏
点赞数
文章标签: python
原文链接:https://my.oschina.net/safedog/blog/336844
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

日前,国外安全研究人员又在twitter上曝出了Drupal 7.31 版本最新SQL注入漏洞,并给出了利用测试的EXP代码。对于此次事件,多家网站论坛都对其进行了报道:

24091327_xQRb.jpg

对此,狗狗也对其进行了关注与报道,也对其进行了研究与测试,

最后狠荣幸的告诉大家,安全狗可以防护这一漏洞问题。

当然出于谨慎对待,建议您可以进行一下操作,查看是否有该漏洞对应的规则已启用。

我们来个三步走~(~ )~

      第一步:打开网站安全狗,并且进入主动防御界面找到网站漏洞防护功能,并选择启动,如图:24091328_IOvm.jpg

  

24091328_IOvm.jpg

        Ok,检查完了我们进行第二步检查,在规则中找到“SQL注入拦截规则---防止对数据库进行数据修改操作”,如下图所示:

24091328_VU3i.jpg24091328_VU3i.jpg

呼呼(~ )~~有点考眼力,嗯哼!

接下来就是第三步喽!双击打开我们选择的那条规则,查看是否勾选了检测post选项。如下图:

24091328_cLg6.jpg24091328_cLg6.jpg

          三步走轻轻松松搞定Drupal 7.31 版本最新SQL注入漏洞。

     安全狗网站:http://www.safedog.cn



转载于:https://my.oschina.net/safedog/blog/336844

weixin_33824363
关注
Drupal 7.31SQL注入getshell漏洞利用详解及EXP
Coisini的博客
06-15 3946
0x00 这个漏洞威力确实很大,而且Drupal用的也比较多,使用Fuzzing跑字典应该可以扫出很多漏洞主机,但是做批量可能会对对方网站造成很大的损失,所以我也就只是写个Exp不再深入下去。 0x01 关于漏洞的原理和POC在我的博客上已经有文章进行解释,这里只是着重说一下利用过程。配合POC的效果,我主要是从远程代码执行和GetShell方面去做的利用。 远程代码执行利用: 1.使用超级管理...
php cve-2014-8142漏洞,Drupal 7.31 SQL注入漏洞(CVE-2014-3704) EXP测试代码
weixin_39594312的博客
04-01 706
*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。最近频繁发各种0day,真是把大家累坏了。Drupal 7.31 SQL注入漏洞(CVE-2014-3704)就是其中一个,该漏洞利用测试方法“简单粗暴”,受到安全研究者们的青睐。Drupal Sql注入漏洞原理是酱紫的,Drupal在处理IN语句的时候,要通过expandArgu...
Drupal 7.31最新SQL Injection漏洞利用脚本支撑库文件
10-23
Drupal 7.31最新SQL Injection漏洞利用脚本支撑库文件 具体利用方法可以参见http://blog.csdn.net/kikaylee/article/details/40400643
Drupal 7.31 SQL注入漏洞利用具体解释及EXP
weixin_33958585的博客
04-02 587
 有意迟几天放出来这篇文章以及程序,只是看样子Drupal的这个洞没有引起多少重视,所以我也没有必要按着不发了,只是说实话这个洞威力挺大的。当然。这也是Drupal本身没有意料到的。 0x00 首先。这个漏洞真的非常大。并且Drupal用的也比較多。应该能够扫出非常多漏洞主机,可是做批量可能会对对方站点造成非常大的损失。所以我也就仅仅是写个Exp。只是。这个洞好像不怎么被重视。这...
Drupal漏洞Drupal 7.31 SQL漏洞
2301_77778745的博客
04-25 610
1.通过python调用drupal7.x.py脚本对数据库进行注入。test test(后面两个test是新设的用户名和密码)2.输入命令:python drupal7.x.py。
Drupal 7.31 SQL注入漏洞
小小猪的博客
11-15 1903
Drupal 7.31 SQL注入漏洞 漏洞详解: Drupal是一个开源内容管理平台,为数百万个网站和应用程序提供支持。 这个漏洞威力确实很大,而且Drupal用的也比较多,使用Fuzzing跑字典应该可以扫出很多漏洞主机,但是做批量可能会对对方网站造成很大的损失,所以也就只是写个Exp不再深入下去。 环境搭建: drupla 下载地址 环境打包在目录下安装即可 中间遇到的问题: 解决方法:关闭extersion=php_mbstring.dll(修改前注意备份原来的) xploit:.
drupalgeddon:针对 drupalgeddon SQL 注入漏洞的常见攻击向量和防御示例
07-08
这会注入一些 SQL 并安装 2 个后门。 deobfuscate.php :仅供参考。 在exploit.php的第60行上传的文件的反混淆版本 execute-php.php :必须与exploit.php结合使用。 一旦exploit.php 运行完毕, execute-php.php就...
Drupal User Karma模块跨站脚本和SQL注入漏洞.php
12-15
Drupal User Karma模块跨站脚本和SQL注入漏洞.php
Drupal < 7.32 “Drupalgeddon” SQL注入漏洞(CVE-2014-3704)
EC_Carrot的博客
05-27 412
漏洞背景 Drupal 是一款用量庞大的CMS,其7.0~7.31版本中存在一处无需认证的SQL漏洞。通过该漏洞,攻击者可以执行任意SQL语句,插入、修改管理员信息,甚至执行任意代码。 漏洞复现 该漏洞无需认证,发送如下数据包即可执行恶意SQL语句: POST /?q=node&destination=node HTTP/1.1 Host: your-ip:8080 Accept-Encoding: gzip, deflate Accept: */* Accept-Language: en User
Drupal 7.31版本严重SQL注入漏洞
weixin_30460489的博客
10-16 258
今早有国外安全研究人员在Twitter上曝出了Drupal 7.31版本的最新SQL注入漏洞,并给出了利用测试的EXP代码。 在本地搭建Drupal7.31的环境,经过测试,发现该利用代码可成功执行并在数据库中增加一个攻击者自定义的用户。 测试代码:(请勿用于非法用途) POST/drupal-7.31/?q=node&destination=nodeHTTP/1.1 Host...
Drupal V7.3.1 框架处理不当导致SQL注入
weixin_30517001的博客
12-26 137
这个漏洞本是2014年时候被人发现的,本着学习的目的,我来做个详细的分析。漏洞虽然很早了,新版的Drupal甚至已经改变了框架的组织方式。但是丝毫不影响对于漏洞的分析。这是一个经典的使用PDO,但是处理不当,导致SQL语句拼接从而导致注入的问题。从这个问题,以及以往我见过的很多的漏洞来看,我不得不说,代码底层做的再安全,过滤的再完全,如果程序员的一个不小心,也将会导致重大安全问题的出...
Drupal < 7.32 “Drupalgeddon” SQL注入漏洞(CVE-2014-3704)漏洞复现
ADummy的博客
02-23 874
Drupal < 7.32 “Drupalgeddon” SQL注入漏洞 by ADummy 0x00利用路线 ​ Burpsuite抓包改包—>信息被出 0x01漏洞介绍 ​ Drupal 是一款用量庞大的CMS,其7.0~7.31版本中存在一处无需认证的SQL漏洞。通过该漏洞,攻击者可以执行任意SQL语句,插入、修改管理员信息,甚至执行任意代码。 影响版本 Drupal < 7.31 0x02漏洞复现 payload: POST /?q=node&destinati
针对sql注入漏洞进行攻击
caribbean08的专栏
11-17 498
sql注入针对sql注入漏洞进行攻击,是全世界都感到很头疼的一件事,请专家给点意见,怎样能有效的防止这一攻击行为呢?-----------------------------------------------------------------------------------------------------回答:1.问题的描述  先举个例子说明SQL注入攻击,下面的这个SQL语句是存在攻
从0到1深入浅出学习SQL注入
logic1001的博客
03-06 1241
叒有一段时间没写文章了,正好周末有时间就来写写,本文来讲讲有关SQL注入相关的知识点会尽可能详细的写出来,比较适合刚入门安全的小白进行学习,希望能在面试或实战中助你一臂之力。如有大佬发现文中内容有错误的地方恳请斧正!也欢迎各位师傅共同交流学习技术!
Drupal 7.31 SQL注入漏洞利用详解及EXP
热门推荐
Exploit的小站~
05-10 2万+
 有意迟几天放出来这篇文章以及程序,不过看样子Drupal的这个洞没有引起多少重视,所以我也没有必要按着不发了,不过说实话这个洞威力挺大的,当然,这也是Drupal本身没有意料到的。 0x00 首先,这个漏洞真的很大,而且Drupal用的也比较多,应该可以扫出很多漏洞主机,但是做批量可能会对对方网站造成很大的损失,所以我也就只是写个Exp。不过,这个洞好像不怎么被重视,这也是极为不合适。...
Drupal 7.31版本最新漏洞利用个人完整总结,共享出来(附上利用源码)
What_Happened的博客
11-25 3286
2014年10月16日有国外安全研究人员在Twitter上曝出了Drupal 7.31版本的最新SQL注入漏洞,并给出了利用测试的EXP代码,小编在本地搭建Drupal7.31的环境,经过测试,发现该利用代码可成功执行并在数据库中增加一个攻击者自定义的用户。        通过测试,我总结了一套完整的利用过程。       (1)利用google查找潜在的目标,关键字很多啦,比如:in
达梦数据库写文件的方式探索
最新发布
C20220511的博客
05-30 1240
DMSQL默认情况下是支持堆叠注入的(笔者试了官方给的java版本的SDK,其它版本未尝试),也就是说在注入的时候支持多语句,支持多语句为攻击者提供了对SQL注入漏洞进行深入利用的遐想,也使得本文利用DMSQL写文件的研究具有实际意义。通过SQL注入来写文件一直以来都是SQL注入漏洞深入利用的一种方式,对于不同的数据库通常写文件的方式也是不一样的。通过自定义命名空间的方式来写文件可以实现完全自主可控的文件名和文件内容,对用户权限要求也不是很高,但是缺点是文件太大(我默认安装的DM,最小的文件是32M)。
Drupal <7.32“ Drupalgeddon” SQL注入漏洞(CVE-2014-3704)
weixin_46236101的博客
09-18 714
Drupal是一种少量大量的CMS,其7.0〜7.31版本中存在一处无需认证的SQL漏洞。通过该漏洞,攻击者可以执行任意SQL语句,插入,修改管理员信息,甚至执行任意代码。 进攻环境 执行如下命令启动Drupal 7.31环境: docker-compose up -d 环境启动后,访问http://your-ip:8080即可看到Drupal的安装页面,使用替代配置安装即可。 其中,Mysql数据库名填写drupal,数据库用户名,密码为root,地址为mysql: 安装完成后,访问首页: 进攻复现
请介绍SQL注入漏洞检测、XSS漏洞检测、端口扫描与服务发现技术、CMS技术,
05-16
1. SQL注入漏洞检测: SQL注入是一种针对Web应用程序的攻击技术,通过在Web应用程序中注入SQL命令来实现对数据库的非法访问。SQL注入漏洞检测可以通过在输入参数中注入特定的SQL语句来测试Web应用程序是否容易受到...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值