关键词
安全漏洞
Apache 软件基金会 (ASF) 已发布安全更新来修复流量控制中的一个严重安全漏洞,如果成功利用该漏洞,攻击者可以在数据库中执行任意结构化查询语言 (SQL) 命令。
该 SQL 注入漏洞的编号为CVE-2024-45387,在 CVSS 评分系统中的评分为 9.9 分(满分 10.0 分)。
项目维护人员在一份公告中表示:“Apache Traffic Control <= 8.0.1、>= 8.0.0 中的 Traffic Ops 中存在一个 SQL 注入漏洞,允许具有
‘admin’、‘federation’、‘operations’、‘portal’、‘steering’
角色的特权用户通过发送特制的 PUT 请求对数据库执行任意 SQL 。 ”
Apache Traffic Control是内容分发网络 (CDN) 的开源实现。它于 2018 年 6 月被AS宣布为顶级项目 (TLP)。
腾讯云顶安全实验室发现并报告了该漏洞。该漏洞已在 Apache Traffic Control 8.0.2 版本中得到修复。
此次开发正值 ASF解决了Apache HugeGraph-Server (CVE-2024-43441) 1.0 至 1.3 版本中的身份验证绕过漏洞。1.5.0 版本中已发布了针对该缺陷的修复程序。
它还发布了针对 Apache Tomcat(CVE-2024-56337)中一个重要漏洞的补丁,该漏洞可能在某些条件下导致远程代码执行(RCE)。
SQL注入攻击是一种常见的网络攻击手段,攻击者通过在输入字段中插入恶意SQL代码,试图欺骗应用程序以执行不安全的数据库操作。建议用户将其实例更新到软件的最新版本,以防范潜在威胁。
检测SQL注入攻击的方法
输入检查:对用户输入进行充分的验证和转义,防止恶意的SQL代码被执行。
日志分析:分析应用程序的访问日志,检测异常的URL、异常的用户行为等。
数据库监控:监视数据库的活动,检测异常的查询和操作。
漏洞扫描:使用漏洞扫描工具检测应用程序中的安全漏洞,包括SQL注入漏洞。
Web应用程序防火墙:监控应用程序的流量,检测和阻止SQL注入攻击。
防御SQL注入攻击的措施
使用预编译语句和参数化查询:这是防止SQL注入的最有效方法之一,通过使用占位符而不是直接拼接字符串来构建SQL命令。
输入验证:检查用户输入的合法性,确信输入的内容只包含合法的数据。
错误消息处理:避免出现详细的错误消息,因为黑客们可以利用这些消息。
最小权限原则:为数据库账号分配最小必要的权限,即使存在注入漏洞,攻击者也无法执行高风险操作。
参考来源:https://thehackernews.com/2024/12/critical-sql-injection-vulnerability-in.html
END
阅读推荐
【安全圈】iOS 设备比 Android 设备更容易受到网络钓鱼的攻击
安全圈
←扫码关注我们
网罗圈内热点 专注网络安全
实时资讯一手掌握!
好看你就分享 有用就点个赞
支持「安全圈」就点个三连吧!
