白帽子发现美军网站SQL注入漏洞,可获取敏感数据
去年有报道称,美军收购软件漏洞为网战准备。而美军自己的网站和服务器究竟又有多安全?一名独立安全研究者已经发现了美军网站的几个较为严重的安全漏洞。
安全专家称,这些漏洞说明了美国防部网络安全基础的脆弱性,攻击这些军方公共站点以及职员门户要比进入五角大楼容易得多。
美军网站惊现SQL注入漏洞
漏洞发现者研究者名为MLT,他表示在美军国防合同管理局(DCMA)网站子域中,存在严重漏洞。攻击者可以利用该漏洞泄露国防部(DoD)雇员的个人信息,其中包括姓名、住址等。
尽管MLT并没有对漏洞进行利用,他仍摆出了一些数据作证攻击者能够盗取敏感的个人信息。
“在没有真正利用漏洞前,我无法对此进行确定。但是,从列表的名称和全网的官方警示来看,这些页面是不该存在SQL注入漏洞。”
SQL注入漏洞作为Web中最常见的安全漏洞之一,允许攻击者对通过经恶意SQL语句注入正常网页从数据库中盗取敏感信息。尽管这是个骨灰级漏洞,而Web开发者理应极力避免,仍有不计其数的站点受此漏洞影响,并造成重大数据泄露事故。而此次军方网站竟存在SQL注入这样的漏洞,实在令人唏嘘。
一名安全从业者Jim Manico称:
“攻击者能够利用这个漏洞盗取数据库中的全部数据。这很糟糕。”
而MLT所担忧的还有攻击者可能会利用这个漏洞获取DoD雇员的信息,从而进行攻击,不论是在网络层面还是现实生活中。
“如果一些黑帽子发现了这个漏洞并加以利用,那么他们现在就拥有了一大批DoD雇员的个人信息。从网站首页那些警告的语言,我真心希望他们把网站的安全当作一件严肃的事情来考虑了。”
不止SQL注入,还有其他多个漏洞
据MLT透露这个SQL注入漏洞已于一周前被修复,而最近他又发现了几个其他漏洞。他在周一发布的一篇博客中进行了详细介绍。
其中一个漏洞,通过在浏览器URL栏中输入几行字符串任何人都可以进入美国陆军的一个服务器。MLT还发现了一个登录另一军方网站的明文凭证列表,其中一个密码为“msecretpassword”。
研究者还发现了十几个XSS漏洞,这在网络上也是很常见的。实际上,据Web安全公司WhiteHat安全估计,80%的网站都存在XSS漏洞。
考虑到美军的足迹遍布Web空间,而仍在使用着有些过时的系统,因此受到的威胁远远超过了MLT的发现。
安全研究者Robert Hansen称:
“这些漏洞确实让每个美国人和美国的盟友感到非常紧张。”
本文转自d1net(转载)
白帽子发现美军网站SQL注入漏洞,可获取敏感数据相关推荐
- 友基科技网站sql注入漏洞
2019独角兽企业重金招聘Python工程师标准>>> 虽然现在sql注入不像以前那么常见,但是在一些中小型网站还是会存在.如该网站某URL如图: 最简单的探测sql注入漏洞的方法, ...
- 网站安全测试与检测中 发现的OA系统中的SQL注入漏洞
近日,SINE安全监测中心监控到泛微OA系统被爆出存在高危的sql注入漏洞,该移动办公OA系统,在正常使用过程中可以伪造匿名身份来进行SQL注入攻击,获取用户等隐私信息,目前该网站漏洞影响较大,使用此 ...
- 如何使用加密的Payload来识别并利用SQL注入漏洞
写在前面的话 密码学具有诸多优点,信息的保密性同样离不开密码学,但是从历史经验来看,在保护应用和数据安全方面我们绝对不能过分依赖于密码学.在这篇文章中,安全教育培训专家SunilYadav将会讨论一个 ...
- 【SQL注入漏洞-01】SQL注入漏洞原理及分类
SQL注入简介 结构化查询语言(Structured Query Language,缩写︰SQL),是一种特殊的编程语言,用于数据库中的标准数据查询语言. SQL注入(SQL Injection)是一 ...
- sqlmap检测sql注入漏洞
sqlmap是一个开源的渗透测试工具,可以用来进行自动化检测,利用SQL注入漏洞,获取数据库服务器的权限.它具有功能强大的检测引擎,针对各种不同类型数据库的渗透测试的功能选项,包括获取数据库中存储的数 ...
- php网站漏洞检测对sql注入漏洞防护
近日,我们SINE安全对metinfo进行网站安全检测发现,metinfo米拓建站系统存在高危的sql注入漏洞,攻击者可以利用该漏洞对网站的代码进行sql注入攻击,伪造恶意的sql非法语句,对网站的数 ...
- 对搜狐 网易和TOM三大门户网站的SQL注入漏洞检测
分享一下我老师大神的人工智能教程!零基础,通俗易懂!http://blog.csdn.net/jiangjunshow 也欢迎大家转载本篇文章.分享知识,造福人民,实现我们中华民族伟大复兴! 对搜狐. ...
- php网站漏洞检测对sql注入漏洞防护 1
近日,我们SINE安全对metinfo进行网站安全检测发现,metinfo米拓建站系统存在高危的sql注入漏洞,攻击者可以利用该漏洞对网站的代码进行sql注入攻击,伪造恶意的sql非法语句,对网站的数 ...
- 拿到一个网站,怎么判断该网站是否存在sql注入漏洞?
漏洞挖掘 漏洞利用 修复漏洞 sql注入漏洞.文件操作漏洞.xss.rce.逻辑漏洞 反序列化.... sql注入漏洞: 网站的数据库 脱裤 拖取网站数据库 数据库基础: 数据库基本结构:数据库 -- ...
最新文章
- webpack源码阅读——npm脚本运行webpack与命令行输入webpack的区别
- LVS-DR模式(原理图详解)
- WCF HelpPage 和自动根据头返回JSON XML
- Mr.J--俄罗斯方块实现(框架)
- python socket原理 及socket如何使(tcp udp协议)
- ios通过url下载显示图片
- Nginx+Memcached+Tomcat集群配置
- MATLAB快速入门(一)
- 大数据入门教程系列之Hadoop环境搭建--新建Hadoop用户
- 利用HTML+CSS,写出一个正方体并实现透视效果
- Unitek的USB3.0 TF卡读卡器
- 非负大整数加法---网易校招附加题
- Idea21.1.3版本中Scala默认设置带类型
- ios测试硬盘速度软件,轻巧好用的AJA System Test硬盘测速工具(Mac / Windows)
- 自定义文件格式注册和图标设置
- 什么是gpo,gpt,gpc(活动目录组策略)
- LoadRunner 11(LR11) 下载链接及破解方法
- http请求中文字符加解密
- 利用PyDoc查看python文档及生成HTML
- 《国资报告》专访高煜光 | 国企数字化转型如何拥抱超自动化?
热门文章
- 关于元素绝对定位的父元素问题
- Node.js「四」—— 路由 / EJS 模板引擎 / GET 和 POST
- TS Decorator
- Vue (响应式原理-模拟-2-Observer)
- Android实现登录
- 电脑故障,路由器及网络
- Tigase数据库结构(1)
- 图的存储结构(邻接矩阵)
- Windows Phone开发(27):隔离存储A 转:http://blog.csdn.net/tcjiaan/article/details/7425212...
- Win32 控件篇(6)