来自 安全 2021-06-10 23:03 的文章

服务器安全防护_高防直连vps_零误杀

服务器安全防护_高防直连vps_零误杀

ImmuniWeb>安全博客在2个月内发现第二个高风险缺陷文章fr 2.2k 194 22 15 14 More 11 2 8周四,2014年8月7日阅读时间:2分钟。high Tech Bridge实行负责任的披露政策。当我们的研究人员发现一个漏洞时,我们会向供应商提交一份报告,服务程序能否防御ddos,报告中包含关于该漏洞的所有细节和一个PoC(概念证明)代码,可以用来确认它的漏洞存在。高-Tech Bridge实行负责任的披露政策。当我们的研究人员发现漏洞时,我们会向供应商提交一份报告,报告中包含有关该漏洞的所有详细信息和一个可用于确认其存在的PoC(概念证明)代码。高科技桥梁公司也对用户负有责任,因此在进行全面披露之前,它给了供应商几周时间来修复缺陷。目前免费转载的时间正在流逝,articleFR是一个用PHP+MySQL编写的开源文章目录系统的供应商,高科桥的研究人员在最新版本(3.0.4)中发现了一个SQL注入缺陷,很可能在早期版本中也存在。该漏洞本身属于CWE-89类型,未能正确中和SQL输入元素,从而可能允许任意修改SQL命令。CWE/Mitre网站解释说:"这可以用来改变查询逻辑以绕过安全检查,cdn国外高防,或者插入修改后端数据库的附加语句,可能包括执行系统命令……"它接着补充说,CWE-89类型的缺陷很容易被利用,因此,任何网站或软件包,即使是最小的用户基地很可能会遭到这种企图的攻击。此漏洞对articleFR用户具有很高的风险。事实上,SQL注入漏洞导致了过去几年中最严重的一些漏洞。上个月,《华尔街日报》(Wall Street Journal)宣布其网络被攻破(通过SQLi),用户凭证被提供出售,允许买家"修改文章、添加新内容、在任何页面中插入恶意内容、添加新用户、删除用户等等。",联邦调查局承认,匿名者长达一年的竞选活动通过SQLi漏洞导致其多个服务器遭到攻击。去年LivingSocial用户5000万用户信息的大规模窃取也是通过SQLi的缺陷造成的。即使是安全公司Bit9的妥协也是从网络罪犯利用SQLi漏洞开始的。名单似乎无穷无尽。这里的问题是,集群部署防御ddos,免费转载已经有了历史。高科技大桥在2014年6月11日发现了另一个缺陷。那是一个不适当的访问控制缺陷(CWE-284型)。High Tech Bridge的咨询报告解释说:"远程攻击者可以修改或删除数据库中存储的信息,从而完全控制应用程序。"articleFR漏洞再次给用户带来了很大的风险,你可以预料到供应商在收到此类警报后,会迅速做出反应。免费转载没有。从6月的发现到7月30日High Tech Bridge的全面披露,High Tech Bridge在六个不同的场合联系了关于此漏洞的免费转载,甚至在GitHub上提出了这个问题(6月26日)。一天之后,台湾高防cdn,供应商说这个缺陷已经被修复了,这个缺陷后来被修改为"在下一个版本中被修复"。它还没有修好。7月16日,High Tech Bridge的研究人员证实它仍然存在于当时的最新版本3.0.2中。7月27日,免费重印版锁定了GitHub,因此高科技桥无法再发表评论。到7月30日,高科技桥梁研究人员证实,该缺陷仍然存在于最新版本(现在是3.0.4)中,并且在与供应商的讨论中没有任何进展。它变成了"全面披露"。但是,高科技桥梁研究人员并没有让articleFR的客户完全暴露在高风险的漏洞中,抗D保-DDoS防御,而是开发了自己的缺陷修复程序,并免费提供:https://www.immuniweb.com/advisory/HTB23219-patch.zip。考虑到这种延迟和拒绝的历史,还有什么希望让免费的重印版本对新的SQL注入缺陷采取更紧急的行动呢?""所有的软件都有漏洞",高科技桥梁首席研究官马塞尔·尼扎姆蒂诺夫评论道这就是现实。如果我们想让互联网成为一个更安全、更安全的地方,我们就需要在犯罪分子发现并利用它们之前,找到并修复这些漏洞。"高科技桥梁研究人员帮助找到缺陷,但随后由供应商来修复。"我们为第一个articleFR缺陷创建了一个补丁,因为我们不想让用户陷入困境。但这是而且只能是权宜之计。修复必须来自供应商,这样它们就被构建到应用程序中并被继续执行。我们希望免费转载不会让事情随着这个最新的漏洞而下滑。我们是来帮忙的,但缺陷的修复取决于供应商。"Tags:articleFR HTB Advisories Responsible Disclosure SQLi web application security以前的博文:ImmuniWeb®Self Fuzzer Firefox Extension欢迎来到World Wild web[法语]2.2k 194 22 15 14 More 11 2 8 var owasp_content=$("右侧分区-块新闻--owasp";var right_content_height=$("分区右侧内容").height();if(right_content_height