精品国产一级在线观看,国产成人综合久久精品亚洲,免费一级欧美大片在线观看

當(dāng)前位置:安全企業(yè)動(dòng)態(tài) → 正文

從雅虎頻繁曝出SQL漏洞看SQL注入威脅

責(zé)任編輯:editor004 |來源:企業(yè)網(wǎng)D1Net  2014-10-13 10:45:00 本文摘自:51cto

雅虎貢獻(xiàn)者網(wǎng)站(http://contributor.yahoo.com/)最近再次曝出存在SQL注入漏洞。漏洞于幾個(gè)月之前被提交,雅虎修復(fù)之后便以知名度下降為理由關(guān)閉了貢獻(xiàn)者網(wǎng)站。

從雅虎頻繁曝出SQL漏洞看SQL注入威脅

  漏洞發(fā)現(xiàn)過程

漏洞是由安全研究員Behrouz Sadeghipour發(fā)現(xiàn)的。通過盲注,Behrouz發(fā)現(xiàn)了雅虎貢獻(xiàn)者網(wǎng)站存在一個(gè)SQL漏洞,該漏洞可能會(huì)使黑客利用來竊取用戶和作者的個(gè)人信息。

接到Behrouz的報(bào)告之后,雅虎積極響應(yīng),不到一個(gè)月的時(shí)間便對(duì)該漏洞進(jìn)行了修復(fù),但是修復(fù)之后,雅虎不久便關(guān)閉了該網(wǎng)站,雅虎給出的理由是“網(wǎng)站的知名度不斷下降”,然后便刪除了網(wǎng)站上的內(nèi)容,只保留了部分用戶的“租用空間內(nèi)容”。(截止到發(fā)稿前,該網(wǎng)址已經(jīng)不可解析,會(huì)直接跳轉(zhuǎn)到雅虎主站)

一些關(guān)鍵的漏洞是會(huì)暴漏網(wǎng)站的重要且敏感的信息的,這個(gè)我們大家都知道。一個(gè)較為嚴(yán)重的SQL漏洞極有可能將整個(gè)數(shù)據(jù)庫的信息全部暴漏出來甚至有可能導(dǎo)致數(shù)據(jù)庫被拖的嚴(yán)重后果。而本次漏洞出現(xiàn)在以下兩個(gè)鏈接之中:

http://contributor.yahoo.com/forum/search/?

http://contributor.yahoo.com//library/payments/data-table/?

漏洞允許黑客在url中注入SQL命令,從而輕易獲取到數(shù)據(jù)庫中的信息。

2012年,雅虎貢獻(xiàn)者網(wǎng)站曾被一伙名為“D33DS Company”的黑客攻擊,導(dǎo)致453,491條email用戶名和密碼泄露。據(jù)了解,那次的攻擊黑客所使用的就是SQL注入攻擊。

SQL注入以及其影響

SQL Injection (SQLi)攻擊已經(jīng)出現(xiàn)了十多年了。其主要是通過從URL中尋找過濾不嚴(yán)的注入點(diǎn)從而通過該注入點(diǎn)直接寫入SQL命令,使得服務(wù)器直接執(zhí)行這些被精心、惡意構(gòu)造的查詢代碼,一旦出現(xiàn),直接相當(dāng)于數(shù)據(jù)庫赤裸裸的躺在黑客面前無任何秘密可言。

關(guān)于SQL攻擊的案例看這里:http://search.aol.com/aol/search?q=site%3Afreebuf.com+sql

SQL攻擊利器sqlmap簡(jiǎn)介戳這里:http://www.freebuf.com/articles/web/29942.html

根據(jù)安全公司Veracode于2014年的安全軟件報(bào)告聲明,SQL注入仍舊是不可忽視的嚴(yán)重問題。仍然以32%的攻擊比率持續(xù)威脅著互聯(lián)網(wǎng)的Web安全。

“目前,我們正在看到每天有超過50,000次的攻擊嘗試落入我們的監(jiān)測(cè)之中,這些攻擊請(qǐng)求中的大多數(shù)都是自動(dòng)完成的,而且大都是針對(duì)于一些應(yīng)用較為廣泛的CMS和其他的網(wǎng)絡(luò)項(xiàng)目(Joomla, WordPress, vBulletin等)。”

Sucuri公司的安全研究員David Dede在其blog中這樣寫道。

SQL注入還將持續(xù)增長(zhǎng)

安全公司的分析表明,隨著時(shí)間的推移,SQL注入的嘗試次數(shù)不僅不會(huì)減少,反而會(huì)不斷增長(zhǎng)。

研究人員補(bǔ)充說道:

“如果我們深入分析這些數(shù)據(jù),并將攻擊按照地理位置進(jìn)行分類標(biāo)注,我們很清晰的看到,這些攻擊無處不在。很多人認(rèn)為,俄羅斯,巴西,羅馬尼亞等少數(shù)國(guó)家是網(wǎng)絡(luò)攻擊的來源,但是對(duì)于SQL注入攻擊來說,美國(guó),印度,印度尼西亞,和中國(guó)才是攻擊的源頭。”

SQL注入是一種真正具有威脅的攻擊方式,世界各地的黑客每天樂此不疲地進(jìn)行著SQL注入。

“如果你是一個(gè)開發(fā)者,你應(yīng)該充分利用OWASP的關(guān)于SQL注入的信息并盡最大的努力阻止SQL注入。”

關(guān)鍵字:SQL命令注入漏洞雅虎

本文摘自:51cto

x 從雅虎頻繁曝出SQL漏洞看SQL注入威脅 掃一掃
分享本文到朋友圈
當(dāng)前位置:安全企業(yè)動(dòng)態(tài) → 正文

從雅虎頻繁曝出SQL漏洞看SQL注入威脅

責(zé)任編輯:editor004 |來源:企業(yè)網(wǎng)D1Net  2014-10-13 10:45:00 本文摘自:51cto

雅虎貢獻(xiàn)者網(wǎng)站(http://contributor.yahoo.com/)最近再次曝出存在SQL注入漏洞。漏洞于幾個(gè)月之前被提交,雅虎修復(fù)之后便以知名度下降為理由關(guān)閉了貢獻(xiàn)者網(wǎng)站。

從雅虎頻繁曝出SQL漏洞看SQL注入威脅

  漏洞發(fā)現(xiàn)過程

漏洞是由安全研究員Behrouz Sadeghipour發(fā)現(xiàn)的。通過盲注,Behrouz發(fā)現(xiàn)了雅虎貢獻(xiàn)者網(wǎng)站存在一個(gè)SQL漏洞,該漏洞可能會(huì)使黑客利用來竊取用戶和作者的個(gè)人信息。

接到Behrouz的報(bào)告之后,雅虎積極響應(yīng),不到一個(gè)月的時(shí)間便對(duì)該漏洞進(jìn)行了修復(fù),但是修復(fù)之后,雅虎不久便關(guān)閉了該網(wǎng)站,雅虎給出的理由是“網(wǎng)站的知名度不斷下降”,然后便刪除了網(wǎng)站上的內(nèi)容,只保留了部分用戶的“租用空間內(nèi)容”。(截止到發(fā)稿前,該網(wǎng)址已經(jīng)不可解析,會(huì)直接跳轉(zhuǎn)到雅虎主站)

一些關(guān)鍵的漏洞是會(huì)暴漏網(wǎng)站的重要且敏感的信息的,這個(gè)我們大家都知道。一個(gè)較為嚴(yán)重的SQL漏洞極有可能將整個(gè)數(shù)據(jù)庫的信息全部暴漏出來甚至有可能導(dǎo)致數(shù)據(jù)庫被拖的嚴(yán)重后果。而本次漏洞出現(xiàn)在以下兩個(gè)鏈接之中:

http://contributor.yahoo.com/forum/search/?

http://contributor.yahoo.com//library/payments/data-table/?

漏洞允許黑客在url中注入SQL命令,從而輕易獲取到數(shù)據(jù)庫中的信息。

2012年,雅虎貢獻(xiàn)者網(wǎng)站曾被一伙名為“D33DS Company”的黑客攻擊,導(dǎo)致453,491條email用戶名和密碼泄露。據(jù)了解,那次的攻擊黑客所使用的就是SQL注入攻擊。

SQL注入以及其影響

SQL Injection (SQLi)攻擊已經(jīng)出現(xiàn)了十多年了。其主要是通過從URL中尋找過濾不嚴(yán)的注入點(diǎn)從而通過該注入點(diǎn)直接寫入SQL命令,使得服務(wù)器直接執(zhí)行這些被精心、惡意構(gòu)造的查詢代碼,一旦出現(xiàn),直接相當(dāng)于數(shù)據(jù)庫赤裸裸的躺在黑客面前無任何秘密可言。

關(guān)于SQL攻擊的案例看這里:http://search.aol.com/aol/search?q=site%3Afreebuf.com+sql

SQL攻擊利器sqlmap簡(jiǎn)介戳這里:http://www.freebuf.com/articles/web/29942.html

根據(jù)安全公司Veracode于2014年的安全軟件報(bào)告聲明,SQL注入仍舊是不可忽視的嚴(yán)重問題。仍然以32%的攻擊比率持續(xù)威脅著互聯(lián)網(wǎng)的Web安全。

“目前,我們正在看到每天有超過50,000次的攻擊嘗試落入我們的監(jiān)測(cè)之中,這些攻擊請(qǐng)求中的大多數(shù)都是自動(dòng)完成的,而且大都是針對(duì)于一些應(yīng)用較為廣泛的CMS和其他的網(wǎng)絡(luò)項(xiàng)目(Joomla, WordPress, vBulletin等)。”

Sucuri公司的安全研究員David Dede在其blog中這樣寫道。

SQL注入還將持續(xù)增長(zhǎng)

安全公司的分析表明,隨著時(shí)間的推移,SQL注入的嘗試次數(shù)不僅不會(huì)減少,反而會(huì)不斷增長(zhǎng)。

研究人員補(bǔ)充說道:

“如果我們深入分析這些數(shù)據(jù),并將攻擊按照地理位置進(jìn)行分類標(biāo)注,我們很清晰的看到,這些攻擊無處不在。很多人認(rèn)為,俄羅斯,巴西,羅馬尼亞等少數(shù)國(guó)家是網(wǎng)絡(luò)攻擊的來源,但是對(duì)于SQL注入攻擊來說,美國(guó),印度,印度尼西亞,和中國(guó)才是攻擊的源頭。”

SQL注入是一種真正具有威脅的攻擊方式,世界各地的黑客每天樂此不疲地進(jìn)行著SQL注入。

“如果你是一個(gè)開發(fā)者,你應(yīng)該充分利用OWASP的關(guān)于SQL注入的信息并盡最大的努力阻止SQL注入。”

關(guān)鍵字:SQL命令注入漏洞雅虎

本文摘自:51cto

電子周刊
回到頂部

關(guān)于我們聯(lián)系我們版權(quán)聲明隱私條款廣告服務(wù)友情鏈接投稿中心招賢納士

企業(yè)網(wǎng)版權(quán)所有 ©2010-2024 京ICP備09108050號(hào)-6 京公網(wǎng)安備 11010502049343號(hào)

^ 
    • <menuitem id="jw4sk"></menuitem>
    

    • 

      3. <form id="jw4sk"><tbody id="jw4sk"><dfn id="jw4sk"></dfn></tbody></form>
      
主站蜘蛛池模板:
麻栗坡县|
老河口市|
桃江县|
阿拉善盟|
读书|
卫辉市|
贺兰县|
中山市|
康平县|
措美县|
余姚市|
柳江县|
沙河市|
博爱县|
华宁县|
SHOW|
错那县|
花莲市|
库尔勒市|
敦化市|
太仓市|
张家港市|
军事|
金塔县|
自贡市|
郸城县|
蛟河市|
昆明市|
高密市|
原平市|
四川省|
杨浦区|
剑河县|
来安县|
姚安县|
承德市|
屏边|
麻阳|
无极县|
焉耆|
繁昌县|