找回密码
 加入怎通
查看: 219|回复: 0

因建站系统存在SQL注入漏洞,国内两家网络公司被CNVD公开点名(站点创建成功有影响吗)

[复制链接]
我来看看 发表于 2023-03-19 12:11:28 | 显示全部楼层 |阅读模式
3 r3 Z. k v4 V( U# K

2月27日,国家信息安全漏洞共享平台(CNVD)的漏洞列表收录了两个新的SQL注入漏洞——CNVD-2019-04308和CNVD-2019-05341根据CNVD公布的信息来看,这两个漏洞的危害级别均被评定为“高”,且为攻击者获取数据库敏感信息创造了条件。

$ \2 r' A8 w% @! j7 e

所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器以执行恶意SQL命令的目的具体来说,它是利用现有应用程序,将恶意SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入恶意SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。

! U) f, a6 e4 S

从漏洞描述我们得知,这两个漏洞分别会影响到国内两家网络公司的建站系统——济南白菜网络技术有限公司(一家致力于互联网品牌建设与网络营销的公司)和中山市商友网络科技有限公司(一家从事网站建设、技术外包、WAP手机网站建设、微信及小程序定制开发、系统UI及平面设计、PHP系统开发、网易企业邮箱的公司)。

$ ]; Y* F& Y! I5 Z. ~. i5 q

“济南白菜网络技术有限公司建站系统sh***.php和ne***.php页面存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息”CNVD在漏洞描述中写道,“中山市商友网络科技有限公司建站系统存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。

, Q1 s8 U/ d% \: T6 f

/ z4 h& l9 `7 v" @3 v6 v! f

值得注意的是,CNVD表示它已确认并复现了其所述的情况,且已通过电子邮件向受漏洞的两家公司进行了通报,但到目前为止这两家公司尚没有发布相关的解决方案或补丁。

2 G& q& b; ]/ w2 w. f8 v% X2 k' x+ V9 A' H# A" f9 e % I5 p: s* U7 w, m0 E$ z+ o+ i4 e 0 V' y. Y3 ]1 g1 p ! {" A8 T% Q" N" E
回复

使用道具 举报

    您需要登录后才可以回帖 登录 | 加入怎通

    本版积分规则

    QQ|手机版|小黑屋|网站地图|真牛社区 ( 苏ICP备2023040716号-2 )

    GMT+8, 2026-7-7 14:07 , Processed in 0.034144 second(s), 24 queries , Gzip On.

    免责声明:本站信息来自互联网,本站不对其内容真实性负责,如有侵权等情况请联系420897364#qq.com(把#换成@)删除。

    Powered by Discuz! X3.5

    快速回复 返回顶部 返回列表