eygle.com   eygle.com
eygle.com eygle
eygle.com  
 

« Oracle Database 12c 将至与新特性介绍 | Blog首页 | "无冕宰相"僧道衍 - 姚广孝塔纪行 »

关于 12306 爆出的SQL安全注入漏洞

今天(2012-09-27),在乌云网站上爆出12306存在一个严重的SQL注入漏洞,当晚该漏洞已经被修复。报告者调侃:"分站有个注入,好几亿的项目,没敢跑库,跑坏了赔不起"。这一漏洞在微薄上引发了关于这个备受争议的火车票订购网站的广泛热议。

以下是这个漏洞的报告信息:
rdn_506434eb96a9b.jpg
该漏洞通过简单的代码注入,可以抛出异常,暴露完整的SQL代码:
591e78e3tw1dxb38cap2zj.jpg

这个漏洞更严重的是,通过注入,可以获得全表数据,甚至获得更多的数据库信息,不知道黑客在公开漏洞前是否已经获得了更多信息:
12306.png

SQL开发应该注意绑定变量,避免被SQL注入攻击。

数据安全的关注刻不容缓,如果忽视了,就难免遭遇安全危机。如果在代码上难以改变,有一些产品可以用于防范这类注入,如Oracle的Firewall产品。



历史上的今天...
    >> 2011-09-27文章:
    >> 2010-09-27文章:
           泰国游记 之 Julia版
    >> 2008-09-27文章:
           OOW 2008 与 Julia 的生日
    >> 2007-09-27文章:
    >> 2006-09-27文章:
    >> 2005-09-27文章:
           难得一笑

无觅

By eygle on 2012-09-27 23:15 | Comments (0) | Advanced | OraNews | 3049 |


CopyRight © 2004~2020 云和恩墨,成就未来!, All rights reserved.
数据恢复·紧急救援·性能优化 云和恩墨 24x7 热线电话:400-600-8755 业务咨询:010-59007017-7040 or 7037 业务合作: marketing@enmotech.com