欢迎来到墨鱼博客!
记录一次因“大意书写”而导致的“[高危]SQL注入漏洞(盲注)”

记录一次因“大意书写”而导致的“[高危]SQL注入漏洞(盲注)”

浏览次数:

作者: 墨鱼

信息来源:

更新日期: 2016-02-29 13:09:57

文章简介

一天,客户联系我说某扫描组织对齐网站进行安全评估扫描后报告高危漏洞了,请求帮助!截图如下:要来客户网站信息,进行排查。发现是我以前给写过的一个插件。代码结构不复杂。打开

  • 正文开始
  • 相关文章

 一天,客户联系我说某扫描组织对齐网站进行安全评估扫描后报告高危漏洞了,请求帮助!截图如下:

1.jpg

要来客户网站信息,进行排查。发现是我以前给写过的一个插件。代码结构不复杂。打开插件PHP截图如下:

1.jpg

注意红色箭头,发现啥了?这个变量传递,我竟然没转换类型,没过滤?当时一定是大意或者脑残了。。。

好吧修复如下:

1.jpg

也就是强制把ID转换为数字型,这样就可以仿制SQL注入语句的执行提交了!

其实程序老手会说我这种错误很低级,是的,确实很低级。这次确实也是大意了,发布这个文章目的,只是记录反省这个事件,给新手一些参考,毕竟这些小细节很容易被忽略。也希望程序猿们规范书写各个变量传递前的过滤。这个注入漏洞真的很吓人!

记录一次因“大意书写”而导致的“[高危]SQL注入漏洞(盲注)”.doc

PS.由于前期整理文章没有进行格式化信息处理,导致有些包含代码修改的信息,格式混乱看不清楚。如果发现有此类问题,请在下方评论留言,墨鱼第一时间进行格式化整理!感谢配合

转载请注明: 帝国CMS模板 » 记录一次因“大意书写”而导致的“[高危]SQL注入漏洞(盲注)”

标签: 漏洞
收藏此文 感觉不错,赞哦! () 打赏本站

如本文对您有帮助,就请墨鱼抽根烟吧!

  • 支付宝打赏
    支付宝扫描打赏
    微信打赏
    微信扫描打赏
帝国CMS批量提取新闻正文内容的第一张图片作为标题缩略图的SQL语句
« 上一篇 2016年02月13日
帝国CMS 两种方法实现点击更换网站验证码
下一篇 » 2016年03月09日

精彩评论