« Oracle Database 12c 将至与新特性介绍 | Blog首页 | "无冕宰相"僧道衍 - 姚广孝塔纪行 »
关于 12306 爆出的SQL安全注入漏洞
作者:eygle | 【转载请注出处】|【云和恩墨 领先的zData数据库一体机 | zCloud PaaS云管平台 | SQM SQL审核平台 | ZDBM 数据库备份一体机】
链接:https://www.eygle.com/archives/2012/09/injection_12306_sql.html
今天(2012-09-27),在乌云网站上爆出12306存在一个严重的SQL注入漏洞,当晚该漏洞已经被修复。报告者调侃:"分站有个注入,好几亿的项目,没敢跑库,跑坏了赔不起"。这一漏洞在微薄上引发了关于这个备受争议的火车票订购网站的广泛热议。链接:https://www.eygle.com/archives/2012/09/injection_12306_sql.html
以下是这个漏洞的报告信息:
该漏洞通过简单的代码注入,可以抛出异常,暴露完整的SQL代码:
这个漏洞更严重的是,通过注入,可以获得全表数据,甚至获得更多的数据库信息,不知道黑客在公开漏洞前是否已经获得了更多信息:
SQL开发应该注意绑定变量,避免被SQL注入攻击。
数据安全的关注刻不容缓,如果忽视了,就难免遭遇安全危机。如果在代码上难以改变,有一些产品可以用于防范这类注入,如Oracle的Firewall产品。
这个漏洞更严重的是,通过注入,可以获得全表数据,甚至获得更多的数据库信息,不知道黑客在公开漏洞前是否已经获得了更多信息:
SQL开发应该注意绑定变量,避免被SQL注入攻击。
数据安全的关注刻不容缓,如果忽视了,就难免遭遇安全危机。如果在代码上难以改变,有一些产品可以用于防范这类注入,如Oracle的Firewall产品。
历史上的今天...
>> 2011-09-27文章:
>> 2010-09-27文章:
>> 2008-09-27文章:
>> 2007-09-27文章:
>> 2006-09-27文章:
>> 2005-09-27文章:
By eygle on 2012-09-27 23:15 | Comments (0) | Advanced | OraNews | 3049 |