修复信息素养题库的 SQL注入 漏洞
# 0x00 引言
今天下午对自己网站进行渗透测试过程中,主要发现两个问题:
WordPress 6.1 存在漏洞 CVE-2022-3590 :WP <= 6.1.1 - Unauthenticated Blind SSRF via DNS Rebinding
信息素养查询题库:https://www.denceun.com/others/xxsy/ 存在SQL注入漏洞
前者目前还好,没有公布Poc,而且风险也很低,暂时可以忽略
我们主要来看后者:
# 0x01 正文
造成原因:之前写代码操之过急,直接吧用户输入内容作为参数查询了
影响:sql数据库被脱,账号密码泄漏,GetShell危害获取服务器网页文件读写权限,影响别的站点和整个服务器
修复: 使用 replace 过滤了部分sql关键词,暂时就这样 (代码就不外泄了)
删除缓存,重新扫描,暂时修复成功:
# 0x02后记
我们在开发之中切忌操之过急,认真读代码,尽可能理解到漏洞的存在。另外渗透测试也是很重要的一步,本次简单的渗透测试就在这里结束了。其余很多部分,都是用得到信息收集,这个针对自己,很难操作,毕竟我知道我自己有什么,所以暂时不进行操作了。
还有的话就是说,Wordpress目前存在未修复漏洞 CVE-2022-3590 ,Poc将在2023-01-27公开,届时希望WP用户们关注,更新,及时修复,避免损失
阅读剩余
版权声明:
作者:admin
链接:https://www.denceun.com/archives/185
文章版权归作者所有,未经允许请勿转载。
THE END