微软在周一向所有的网络管理员发出警告:一名安全研究员公布了一个微软还未来得及修复的SQL数据库上的漏洞。
攻击者可以利用这个漏洞来侵入基于微软产品来实现动态网页的网站。这个漏洞存在于以下微软产品中:SQL server 2000, SQL server 2005, SQL server 2005 express edition, SQL desktop engine, SQL server 2000 和 Windows内部数据库。
这位名叫Bernhard Mueller的安全研究员来自“SEC漏洞实验室”。他表示早在今年四月份就已告知微软发现了这个漏洞。但微软一直未能向他透露修复工作的进展情况,基于这个原因,他决定公开这个漏洞。
目前至少有一家安全公司已经把Mueller列入到他们的“顽皮的人”的列表中。
Shavlik Technologies的CTO Eric Schultze表示“这样曝光漏洞是非常不负责任的。他应该通过合理的途径向微软报告。然而,这家伙没有足够的耐心,以至于在微软发布补丁之前就公布了这个漏洞。这样所谓的安全研究员为了提高自己的知名度,而不惜冒着使众多服务器被黑和大众的私人信息被泄露的风险”。
网络犯罪已经逐步把目标指向正规的网站,利用这些网站来传播恶意的代码。在过去的两周,有成千上万的网站被黑客利用微软刚刚打过补丁的IE漏洞入侵了。
微软已经针对这个漏洞发布了临时的解决办法。此外,微软最新的数据库产品不受这个漏洞的威胁,这些产品包括:SQL server 7 SP4, SQL server 2005 SP3 和 SQL server 2008。
原文:
Microsoft flaw may add to SQL-injection troubles
Published: 2008-12-23
Microsoft warned network and Web administrators on Monday that a security researcher had published an exploit for an unpatched flaw in the company's structured query language (SQL) database software.
The information could allow malicious attackers the ability to compromise Web sites that use Microsoft's software to serve up dynamic Web pages. The vulnerability affects older versions of the software, including Microsoft SQL Server 2000, Microsoft SQL Server 2005, Microsoft SQL Server 2005 Express Edition, Microsoft SQL Server 2000 Desktop Engine, Microsoft SQL Server 2000 Desktop Engine and Windows Internal Database, the company said in an advisory.
The security researcher who discovered the issue and released the flaw, Bernhard Mueller of SEC Consult Vulnerability Lab, stated in an advisory that he had contacted Microsoft in April about the vulnerability but decided to release it after the company failed to update him on its progress in patching the issue.
At least one security firm put Mueller on its "naughty list."
"This is an example of irresponsible disclosure," Eric Schultze, chief technology officer of Shavlik Technologies, said in a statement sent to SecurityFocus. "The person that found (the) issue took the proper steps to report it to Microsoft, however, they grew impatient with Microsoft and decided to release exploit code before Microsoft announced a patch. This so-called security researcher has therefore placed thousands of servers and potentially (an) untold number of person’s privately identifiable information at risk for purposes of their own popularity.
Online criminals have increasingly targeted legitimate Web sites as a way to host and spread malicious code. In the past two weeks, thousands of Web sites have been hacked to host an attack taking advantage of a serious flaw in Internet Explorer that Microsoft only recently patched.
Microsoft has posted instructions on how to work around the issue. In addition, the company's latest versions of its database software — including Microsoft SQL Server 7.0 Service Pack 4, Microsoft SQL Server 2005 Service Pack 3, and Microsoft SQL Server 2008 — are not affected by the vulnerability.
微软漏洞导致SQL注入威胁相关推荐
- 漏洞解决方案-SQL注入攻击
漏洞解决方案-SQL注入攻击 前置知识 修复方案 代码参考 前置知识 SQL注入攻击,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令. ...
- 米斯特白帽培训讲义 漏洞篇 SQL 注入
米斯特白帽培训讲义 漏洞篇 SQL 注入 讲师:gh0stkey 整理:飞龙 协议:CC BY-NC-SA 4.0 原理与危害 SQL 注入就是指,在输入的字符串中注入 SQL 语句,如果应用相信用户 ...
- Web TOP10漏洞之sql注入
sql注入漏洞 目录 sql注入漏洞 信息搜集: 方法 1.判断是否存在注入点 2.数字or字符or搜索 3.提交方式 4.判断注入姿势 5.玩法^_^ 补充知识: 绕过过滤 其他数据库 信息搜集: ...
- WEB漏洞攻防- SQL注入原理、判定方式、过滤及修复
文章目录 SQL注入漏洞原理 结合简单的代码案例分析SQL注入漏洞是如何产生的 判断是否存在注入 最原始的判断是否存在注入的方式 传入的字符对页面内容存在影响极有可能存在注入 如何过滤.修复SQL注入 ...
- 小迪安全第14天 web漏洞,SQL注入之类型及提交注入
14 web漏洞,SQL注入之类型及提交注入 在真实 SQL 注入安全测试中,我们一定要先明确提交数据及提交方法后再进行注入,其中提交数据类型和提交方法可以通过抓包分析获取, 后续安全测试中我们也 ...
- WEB安全:XSS漏洞与SQL注入漏洞介绍及解决方案
对web安全方面的知识非常薄弱,这篇文章把Xss跨站攻击和sql注入的相关知识整理了下,希望大家多多提意见. 对于防止sql注入发生,我只用过简单拼接字符串的注入及参数化查询,可以说没什么好经验,为避 ...
- 安全漏洞之SQL注入和shell注入
SQL注入 发生部位 SQL注入安全漏洞发生于应用程序和数据库之间. 原理 当攻击者在输入的字符串之中注入SQL指令,由于程序没有设置相关的字符检查,那么这些指令就会被数据服务器认为是正常的SQL指令 ...
- web漏洞之sql注入
SQL注入 SQL注入简介 检测手段 防范措施 burp suite安装sqlmap插件 SQL注入简介 Web 程序代码中对于用户提交的参数未做过滤就直接放到 SQL 语句中执行,导致参数中的特殊字 ...
- Java安全-注入漏洞(SQL注入、命令注入、表达式注入、模板注入)
文章目录 注入 SQL注入 JDBC拼接不当造成SQL注入 框架使用不当造成SQL注入 不安全的反射 命令注入 代码注入 表达式注入 Spel表达式注入 OGNL表达式注入 模板注入 注入 SQL注入 ...
- 【某CMS漏洞】SQL注入漏洞分析
前言 这个CMS非常适合入门代码审计的人去学习,因为代码简单且漏洞成因经典,对一些新手有学习价值, 前台注入 从入口开始:/semcms/Templete/default/Include/index. ...
最新文章
- props写法_简单理解vue中Props属性
- IIS 的身份验证简要说明 - 摘录
- Python小游戏(24点小游戏)
- Linux程序在预处理、编译、汇编、链接、运行步骤的作用
- 51nod 1258 序列求和 V4
- 自建Git服务器系列——Gitea(Gogs的孪生兄弟)
- 4、IO--字节转换流
- 几个常用存储引擎的特点
- 聊聊 Jmeter 如何并发执行 Python 脚本
- 自学PL/SQL 第一讲decalring variables
- Pytorch使用tensorboardX可视化
- 自动控制原理7.1---离散系统的基本概念
- 【Postgresql】pg截取第一个和最后一个字符
- 十二首《临江仙》,说尽心中无限事
- jQuery实现 手风琴图片切换效果( 超简单)
- 蓝桥杯 ALGO-1003 礼物
- Bilibili网站后台代码泄露,从注释看到的一些感想。
- hostapd实现WIFI 热点(AP)
- Linux进程间通信方式
- supervisord 简介
热门文章
- 亿阳信通:不可表示的数
- Allegro PCB 转 PADS Layout 之后的修修补补
- 人工智能学习(十一):机器人学
- Python之美—技术细节篇
- 第四篇--关于device
- 史上最难的初等几何问题?分享一个参考答案
- 制造业执行系统MES 在汽车零配件行业展露锋芒
- 【Android 逆向】Android 逆向用途 | Android 逆向原理
- 搜索和浏览离线 Wikipedia 维基百科(中/英)数据工具
- php 格林尼治标准时间,PHP函数第18款:返回格林威治标准时间MyDate
