wap建站程序_因建站系统存在SQL注入漏洞,国内两家网络公司被CNVD公开点名

最新推荐文章于 2022-08-21 00:31:14 发布
最新推荐文章于 2022-08-21 00:31:14 发布
阅读量312 收藏
点赞数
文章标签: wap建站程序 wap建站程序源码 wap建站系统开源
7b03c44a8cf56d316e25330bb599ecb0.png

2月27日,国家信息安全漏洞共享平台(CNVD)的漏洞列表收录了两个新的SQL注入漏洞——CNVD-2019-04308和CNVD-2019-05341。根据CNVD公布的信息来看,这两个漏洞的危害级别均被评定为“高”,且为攻击者获取数据库敏感信息创造了条件。

所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器以执行恶意SQL命令的目的。具体来说,它是利用现有应用程序,将恶意SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入恶意SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。

从漏洞描述我们得知,这两个漏洞分别会影响到国内两家网络公司的建站系统——济南白菜网络技术有限公司(一家致力于互联网品牌建设与网络营销的公司)和中山市商友网络科技有限公司(一家从事网站建设、技术外包、WAP手机网站建设、微信及小程序定制开发、系统UI及平面设计、PHP系统开发、网易企业邮箱的公司)。

“济南白菜网络技术有限公司建站系统sh***.php和ne***.php页面存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。”CNVD在漏洞描述中写道,“中山市商友网络科技有限公司建站系统存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。”

eb186394dc8fd811a4a7917fd6a8759e.png
3f4c6307d6fa2014c0a5c4b5a840e31a.png

值得注意的是,CNVD表示它已确认并复现了其所述的情况,且已通过电子邮件向受漏洞的两家公司进行了通报,但到目前为止这两家公司尚没有发布相关的解决方案或补丁。

weixin_39814960
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
DM企业建站系统
08-14
DM企业建站系统是由php+mysql开发的一套专门用于中小企业...DM企业建站系统主要特点:1、模板管理功能,下载后,会有多个模板可选择。2、可以给每个页面设置SEO关键字,有利于搜索引擎收录。可以给每个页面设置别名,从
网络安全之SQL注入漏洞基础
Stephen8848的博客
08-12 80
软件程序(包括web)代码中对于用户提交的参数未做过滤就直接放到SQL语句中执行,导致参数中的特殊字符打破了SQL语句原有逻辑,有心人可以利用漏洞执行任意SQL语句,如查询数据、下载数据,甚至是写入webshell、执行系统命令以及绕过登录限制等。
漏洞库:爬取CNVD-国家信息安全漏洞共享平台漏洞
KEY0NE的个人博客
11-13 6316
近期工作中需要爬取整个CNVD漏洞库,之前写的爬虫是跑ICS.CNVD的库(见之前文章 工控安全:分享自己的工控爬虫项目—PySpider-ICS ),本以为改改就能用,没想到,CNVD主站有几道反爬虫机制,这里记录一下我的解决之法。初步分析首先,还是使用了我钟爱的爬虫框架——pyspider,但是写完之后,试了几次都只能获取十几个漏洞信息,然后就报错无法继续下...
开源建站系统开源组件风险
cenlois的博客
02-17 3946
使用开源建站系统的同时不要忘记关注风险
开源web应用中存在三个XSS漏洞,可导致系统遭攻陷
smellycat000的专栏
08-03 375
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士PT Swarm 公司的研究人员在热门的开源开发应用Evaluation CMS、FUDForum 和 GitBucket中发现了三个跨站脚本 (XSS) 漏洞,它们可导致远程代码执行后果。传统的XSS攻击可导致攻击者在受害者浏览器中执行攻击者的JavaScript 代码,从而导致cookie遭窃取、重定向到钓鱼站点等。...
1129 web和wap端发版后--部分页面存在安全漏洞
weixin_30767921的博客
12-05 94
0181129 web版本部分页面存在安全漏洞 1.SQL 注入例如在查询功能,输入分号 感叹号 分号 竖杠 ' ! ; | 搜索时,响应结果不正确,应该与图二的响应结果一致 2.跨站脚本漏洞 持久性XSS(Persistentcross-sitescripting),指的是恶意脚本代码被存储进被攻击的数据库,当其他用户正常浏览网页时,站点从数据库中读取了非法用户存入...
宏景HCM SQL注入漏洞(CNVD-2023-08743) ,hrms加解密工具
最新发布
11-07
宏景HCM SQL注入漏洞(CNVD-2023-08743) ,hrms加解密工具。需要 Java1.8 环境,执行如下命令启动 HrmsTool 工具, -e 是加密, -d 是解密。 $ java -jar HrmsTool.jar Usage: java -jar HrmsTool.jar -e xxx java ...
云业CMS开源企业建站系统-PHP
06-20
云业CMS开源企业建站系统系统主要特点: 一、安全稳定、安全第一永远是我们的核心设计理念。系统采用多层安全防护体系,多层加密,一个帐号只能同时在线一人,更加安全稳定。 二、免费开源、模板众多。 三、自定义...
通达OA sql注入漏洞.zip
08-24
已实现漏洞验证脚本
CNVD-2019-34241 SQL注入.MD
03-20
CNVD-2019-34241 SQL注入.MD
S-CMS医院建站系统XXE通用漏洞利用与防御
seek_2022的博客
03-17 7392
本文首先对XXE漏洞和XML文档的结构进行了简单介绍,并对S-CMS进行代码审计找出漏洞利用点,并介绍了漏洞利用过程和防御方法。
记一次对CSRF漏洞的简单分析(CNVD-2019-00135)
xy_sugar的博客
04-02 1561
漏洞详情 BageCMS是一套基于PHP和MySQL的跨平台的内容管理系统(CMS)。 BageCMS 3.1.3版本中存在跨站请求伪造漏洞。远程攻击者可借助upload/index.php?r=admini/admin/ownerUpdate URL利用漏洞修改用户账户。 环境搭建 在phpstudy下进行的环境搭建,网站源码可自行百度BageCMS 3.1.3及以下版本应该都存在漏洞...
Fastjson 1.2.47 远程命令执行漏洞CNVD-2019-22238)
黑白的博客
11-23 1865
声明 好好学习,天天向上 漏洞描述 Fastjson 是阿里巴巴的开源JSON解析库,它可以解析 JSON 格式的字符串,支持将 Java Bean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化到 JavaBean。 Fastjson提供了autotype功能,允许用户在反序列化数据中通过“@type”指定反序列化的类型,其次,Fastjson自定义的反序列化机制时会调用指定类中的setter方法及部分getter方法,那么当组件开启了autotype功能并且反序列化不可信数据时,攻击者
Fastjson远程代码执行(CNVD-2019-22238)漏洞复现
慢就是快
12-31 4999
文章目录0x00 漏洞简介0x02 影响版本0x03 漏洞复现0x03 指纹识别0x04 注意事项0x05 漏洞修复 0x00 漏洞简介 Fastjson 是一个 Java 库,可以将 Java 对象转换为 JSON 格式,当然它也可以将 JSON 字符串转换为 Java 对象。 0x01 漏洞详情 Fastjson 是一个 Java 库,可以将 Java 对象转换为 JSON 格式,当然它也可以将 JSON 字符串转换为 Java 对象 Fastjson提供了autotype功能,允许用户在反序列化数据
Fastjson漏洞学习——CNVD-2019-22238复现
记录并分享学习安全的知识点..
05-09 1002
警告 请勿使用本文提到的内容违反法律。 本文不提供任何担保 一、概述 Fastjson是阿里巴巴的开源JSON解析库,它可以解析 JSON 格式的字符串,支持将 Java Bean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化到 JavaBean。它还可以用于将JSON字符串转换为等效的Java对象,fastjson爆出多个反序列化远程命令执行漏洞攻击者可以通过此漏洞远程执行恶意代码来入侵服务器。 二、影响版本 Fastjson < 1.2.68 ...
Fastjson系列漏洞实战和总结
yggcwhat
04-30 2710
前言 Fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。具有执行效率高的特点,应用范围广泛。 目录 Fastjson<1.2.24远程代码执行CNVD-2017-02833 ) Fastjson<1.2.48远程代码执行漏洞CNVD-2019-22238) Fstjson < 1.2.60 远程拒绝服务漏洞 Fastjson <=1.2.6
漏洞挖掘技巧-开源程序漏洞挖掘
告白的博客
12-20 5008
挖掘漏洞的时候挖掘的对象的框架涉及到两种: > 第一种是闭源框架,闭源框架里面涉及到两种,一是个人开发,不对外使用,或者未公开,二是商用型,需要甲方购买使用,这些一般都是闭源的,很难拿到源码。 > 第二种是开源框架,也就是我们今天要讲的,开源框架既你可以在网上获取到源码信息。能够获取到源码。那操作空间不就来了嘛?
复现 ASPCMS企业建站系统Cookies欺骗漏洞
记录并分享学习安全的知识点..
08-21 804
ASPCMS是基于ASP+Access(sql2000)开发的网站内容管理系统。 ASPCMS2.0存在sql注入注入漏洞,可获得admin管理员用户的cookie值。
开源网站的漏洞复现(appcms、wordpress)
先剃度再出家
03-22 3501
开源网站的漏洞复现一、appcms二、wordpress     本文的开源网站主要选取了appcms、wordpress两个开源网站来复现。     如果需要这两个网站的压缩包请自取:https://blog.csdn.net/weixin_45873676/article/details/112985656 一、appcms     主要应用XSS。     网页打开如下所示:     随意点开某个软件它都存在留言板如下:     用户可以随意评论,如下所示:     直接上传xss恶意代码显然不
是否避免使用含有已公开漏洞开源第三方应用组件及代码(漏洞库可参考CVE、CNVD等)
05-28
这些漏洞可能已经被攻击者利用,因此在Web程序中使用这些漏洞组件或代码将会对程序造成安全威胁。 为了避免这种情况,Web程序开发人员应该定期检查其使用的所有开源组件和代码,并查看其是否存在公开漏洞。这些...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值