阅读须知
亲爱的读者,我们诚挚地提醒您,WebSec实验室的技术文章仅供个人研究学习参考。任何因传播或利用本实验室提供的信息而造成的直接或间接后果及损失,均由使用者自行承担责任。WebSec实验室及作者对此概不负责。如有侵权,请立即告知,我们将立即删除并致歉。感谢您的理解与支持!
01
漏洞描述
北京某远麒麟堡垒机是一款专业的网络安全设备,能够为企业提供强大的网络安全防护服务。它采用先进的智能算法和技术,能够在企业内部构建一道坚固的安全防线,有效地保护企业的网络不受来自外部和内部的攻击和威胁。该设备具有高可靠性、高扩展性和灵活性等优点,能够满足不同规模企业的安全需求。同时,该设备也支持多种安全防护功能,如流量管理、入侵检测、反病毒、VPN、WEB过滤等,确保企业的网络安全稳定可靠。此系统某接口存在SQL注入漏洞,攻击者可以攻击数据库,造成重要信息泄露。
02
资产测绘
Hunter语法:cert.subject="Baolei"ZoomEye语法:app:"中远麒麟堡垒机"
03
漏洞复现
04
修复建议
-
对输入参数进行过滤和校验,限制输入的特殊字符和关键词,避免恶意注入攻击。
-
避免使用动态SQL语句,尽可能使用参数化查询方式,将用户输入的参数转化为参数变量,从而避免SQL注入攻击。
-
限制数据库用户权限,避免普通用户拥有执行敏感SQL语句的权限,从而降低注入攻击的危害。
官方已发布安全更新,建议访问官网联系售后升级补丁
05
原文始发于微信公众号(WebSec):(1day)北京某远麒麟堡垒机某接口存在SQ注入(大量资产存在)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论