08月15日 4414
OWASP Top 10是國際上排名前十的“十大安全漏洞列表”,這個列表總結(jié)了Web應(yīng)用程序最可能、最常見、最危險的十大漏洞,其中SQL注入漏洞排名首位,其危害性巨大。然而,這次公司合作的,正是這種漏洞的修補。
OWASP Top 10是國際上排名前十的“十大安全漏洞列表”,這個列表總結(jié)了Web應(yīng)用程序最可能、最常見、最危險的十大漏洞,其中SQL注入漏洞排名首位,其危害性巨大。然而,這次公司合作的,正是這種漏洞的修補。
8月12日,貴州水投集團網(wǎng)站發(fā)現(xiàn)SQL注入漏洞,存在網(wǎng)絡(luò)安全風(fēng)險,對方委托我們,修補此漏洞,排除安全風(fēng)險,并且從2017年8月12-2017年8月13日由我們給他們的PC網(wǎng)站+服務(wù)器安全維護。
因為SQL注入,被廣泛用于非法獲取網(wǎng)站控制權(quán),是發(fā)生在應(yīng)用程序的數(shù)據(jù)庫層上的安全漏洞。在設(shè)計不良的程序當(dāng)中,忽略了對輸入字符串中夾帶的SQL指令的檢查,那么這些夾帶進去的指令就會被數(shù)據(jù)庫誤認為是正常的SQL指令而運行,從而使數(shù)據(jù)庫受到攻擊,可能導(dǎo)致數(shù)據(jù)被竊取、更改、刪除,以及進一步導(dǎo)致網(wǎng)站被嵌入惡意代碼、被植入后門程序等危害。介于這樣的情況,我們必須盡快的排除改危險,所以,我們確保在一天之內(nèi)必須排除該安全風(fēng)險!
我們對網(wǎng)站后臺軟件進行全面系統(tǒng)排查,找出SQL注入漏洞來源,并及時清除漏洞,。主要對提出的漏洞URL地址分析,服務(wù)器端文件中凡是通過GET提交的參數(shù)做類型驗證,對非法字符轉(zhuǎn)義,并利用MySQLI和PDO做參數(shù)化綁定,禁止執(zhí)行從URL提交一切惡意的sql語句命令注入,客戶端杜絕(腳本攻擊,跨網(wǎng)站腳本攻擊,HTTP請求欺騙攻擊)。成功的在一天之內(nèi),排除了貴州省水利投資責(zé)任有限公司網(wǎng)站存在的風(fēng)險。