记一次mysql注入漏洞修复

最新推荐文章于 2024-05-23 11:54:27 发布
最新推荐文章于 2024-05-23 11:54:27 发布
阅读量5.2k 收藏 1
点赞数 1
文章标签: mysql 阿里云 漏洞 sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yunhuan29/article/details/71553408
版权

最近公司运行在阿里云上的一个项目出现报警,说有sql整形注入漏洞。然后老板叫我去调查解决,一开始我是...算了干活要紧。


去阿里云上看报警,长这样


红色的大字写的很清楚,恩,不知道咋办就先点进去看看


这个是已经修复好的样子,在这之前“文件已修改”的位置是“漏洞待修复”之类的字样,也是红的


ok,确实有问题,那就去看代码


smarty...    这个框架是个人感觉最不好玩的了


而且代码里也看不出什么问题,那么怎么办呢?突然我想起来阿里云web漏洞列表里有一个文件的图标,上面赫然写着



我勒个去,高大上啊


点击查看才发现里面给详细描述了怎么去修复代码,这时我猜恍然大悟


原来sql的条件传值没有定义类型,这么大的漏洞当时是谁干的...

这个原理我倒是明白,就是说当你没有对传入的参数进行类型转换的话(int就只能接收int,string要trim),很有可能就被人利用你的这个参数漏洞写入一个直接就能通过的sql

举个栗子:你原来的sql是  “SELECT  * FROM USERS WHERE id = ”.$id   你对$id没有处理,那别人就直

最低0.47元/天 解锁文章
yunhuan29
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
mysql 漏洞 安全_Mysql漏洞修复方法思路及注意事项
weixin_36467992的博客
01-18 3616
【系统环境】系统环境:RedHatEnterpriseLinuxServerrelease5.4(Tikanga)+ 5.7.16MySQLCommunityServer(GPL)【漏洞信息】漏洞信息报告,根据集团第三方软件扫描出对应数据库版本的漏洞信息,可以从DVE号跟当前数据库发布版本时间来判断是否为误报信息:【查看修复方法】一般mysql漏洞有对应的CVE号,在Ora...
CVE-2021-27928:CVE-2021-27928 MariaDBMySQL-'wsrep provider' 命令注入漏洞
04-16
信息 Exploit Title: MariaDB 10.2 /MySQL - 'wsrep_provider' OS Command Execution Date: 03/18/2021 Exploit Author: Central InfoSec Version: MariaDB 10.2 before 10.2.37 10.3 before 10.3.28 10.4 before 10.4.18 10.5 before 10.5.9 Percona Server through 2021-03-03; and the wsrep patch through 2021-03-03 for MySQL Tested on: Linux CVE : CVE-2021-27928 如何利用 步骤1:建立反向Shell有效负载 msfvenom -p linux/x64/shel
更新MySQL8.0.35补丁
最新发布
wyl_530的博客
05-23 286
sudo systemctl stop mysqldwget https://dev.mysql.com/get/Downloads/MySQL-8.0/mysql-8.0.35-linux-glibc2.17-x86_64-minimal.tar.xztar xvf mysql-8.0.35-linux-glibc2.17-x86_64-minimal.tar.xzsudo rsync -av mysql-8.0.35-linux-glibc2.17-x86_64-minimal/* /usr/local
mysql sql注入漏洞修复_找到SQL注入漏洞之后我们该怎么办呢?
weixin_28687331的博客
02-07 699
在安全渗透测试一个网站的时候,如果发现一个网站存在SQL注入漏洞,通过SQL注入漏洞我们又能做哪些事情呐?如果该网站存在WAF拦截了我们的利用代码,又该如何去完成我们的目的呐?SQL注入漏洞在所有的漏洞种类中,出现可能性几乎是最高的。形成SQL注入漏洞的主要原因是对于可接受用户输入参数的内容未做处理就直接代入SQL语句中查询,导致例如被脱裤事件发生。那么,当我们发现一个存在SQL注入的地方,应该...
mysql漏洞修复mysql升级)
qyhua的专栏
03-14 1555
用扫描软件扫描后一堆漏洞打开第1个可以看到解决办法:以为访问官网拿补丁打上后就了事,没想到登陆后需要客户标识(我不是客户)还是走升级版本的路。登陆后的界面如下:看上面提交标识后还要等联系,再确认,后面的流程要不要交费也不清楚,还是进行版本升级。
linux mysql漏洞修复_MySQL严重Bug - 用户登陆漏洞
weixin_35988178的博客
02-07 246
Security vulnerability in MySQL/MariaDB 在知道用户名的情况下(如root),直接反复重试(平均大约256次)即可登入。受影响的版本:All MariaDB and MySQL versions up to 5.1.61, 5.2.11, 5.3.5, 5.5.22 are vulnerable.MariaDB versions from 5.1.62, 5....
高级DBA带你处理Mysql数据库漏洞修复方法以及升级版本方法指南最详细全网唯一
热门推荐
nasen512的博客
09-21 1万+
mysql修复漏洞方法window平台以及linux平台非常详细,全网独一份,值得收藏,尤其是DBA跟运维实施必须收藏!运维工程师比如用到!
mysql5 注入漏洞
10-30
MySQL5注入漏洞是一种常见的安全问题,它发生在应用程序与数据库交互时,由于不恰当的数据过滤或错误的查询构造,使得攻击者能够向SQL语句中插入恶意代码,从而获取、修改、删除数据库中的敏感信息,甚至控制整个...
php中sql注入漏洞示例 sql注入漏洞修复
12-18
3. **修复SQL注入漏洞**: - **预编译语句与参数绑定**:使用PDO(PHP Data Objects)或MySQLi的预编译语句,可以防止SQL注入。例如,使用PDO的预编译语句: ```php $stmt = $pdo->prepare("SELECT * FROM users ...
SQL注入漏洞全接触.ppt
11-15
一、 SQL注入漏洞的定义和原理 * SQL注入漏洞是指攻击者通过构造特殊的输入,来获取或修改服务器上的敏感数据。 * SQL注入漏洞的原理是从客户端提交特殊的代码,从而收集程序及服务器的信息,从而获取攻击者想得到...
PHP+MYSQL 注入靶场
04-26
**PHP+MYSQL 注入靶场*...通过这个靶场,你不仅可以提升SQL注入漏洞的检测和修复技能,还能了解到PHP和MySQL在Web应用安全中的重要性。住,安全是Web开发的关键组成部分,理解和防范SQL注入是每个Web开发者的基本功。
自己动手编写SQL注入漏洞扫描工具
12-31
标题中的“自己动手编写SQL注入漏洞扫描工具”指的是创建一个能够自动检测Web应用程序是否存在SQL注入漏洞的软件。SQL注入是一种常见的网络安全威胁,攻击者通过在输入字段中插入恶意的SQL语句来操纵数据库,获取...
Windows下MySQL5.7升级MySQL8.0.35(安全漏洞处理)
摸鱼工程师zsf的博客
11-21 624
安全漏洞#
mysql sql注入漏洞修复_SQL注入漏洞解析与靶场复现
weixin_36043375的博客
02-26 1195
1. 概述SQL注入(SQL Injectioin)漏洞注入漏洞中危害性最高的漏洞之一。形成的原因主要是在数据交互过程中,前端的数据传入后端时,没有作严格的验证过滤导致传入的“数据”拼接到了SQL语句中。被数据库当作SQL语句的一部分执行,从而使得数据面临被脱库、恶意破坏篡改甚至造成整个系统权限沦陷等一系列危害。注入攻击的本质是把用户输入的数据当作代码执行。造成注入攻击有两个关键条件:①用户能够...
某教程学习笔(一):09、MYSQL数据库漏洞
weixin_41489908的博客
02-20 303
她其实并不喜欢你,只是在寂寞的时候,你刚好撞上去,刚好你对她好,刚好你能入她眼,刚好她来着不拒,这所有都是刚好。。。 一、MYSQL语句 创建数据库 create database test; 选择要操作的数据库 user test 创建表 create table aiyou ( id int, username varchar(20), password varchar(30)); 向表中插入...
sql注入的解决方法(注 代码)
Fredrik的博客
06-03 691
sql注入的解决方法(注 代码)
mysql 注入 修改密码_SQL注入-二次注入修改其他用户密码
weixin_42463997的博客
01-19 514
二次注入1、使用特殊的SQL符号注册账号$username= mysql_escape_string($_POST['username']) ;$pass= mysql_escape_string($_POST['password']);$sql = "insert into users ( username, password) values(\"$username\", \"$pass\")...
mysql-查询演练-商城查询-数据修改-sql注入及防范
pyhui的技术博客
08-21 227
目标 通过python来操作数据库 写一个类,封装常用的一些方法 架构 》基本架构 》提示用户,并提供分支处理函数 查询功能 》查询所有商品的方法 》缺什么就补什么 》查询分类 》当前代码存在的问题 每一个函数里面都在创建连接,新建游标 这些游标也好,连接对象也好,都是局部变量 方法结束,变量就没有了 为了方便其它的地方也可以使用 把它们可以弄成全局的 ?对于一个对象而言,什么是全局的?...
mysql sql注入漏洞修复
10-24
MySQL SQL注入漏洞修复可以采用以下几种方法: 1. 使用预编译语句:使用预编译语句可以避免SQL注入攻击,因为预编译语句会将SQL语句和参数分开处理,从而避免了恶意用户在参数中注入SQL代码。例如,使用...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值