<NullPointerException> 二周目
前往频道在 Telegram
892
订阅者
无数据24 小时
+87 天
+1230 天
帖子存档
重要: 宝塔 WAF 防火墙存在 SQL 注入漏洞,攻击者可通过漏洞执行任意指令
最近在V2EX上有用户报告发现了一个关于宝塔 WAF 的SQL注入漏洞。在测试宝塔WAF的未授权访问漏洞时,作者无意中发现了一个可以执行任意SQL语句的SQL注入漏洞。这个漏洞存在于宝塔WAF的get_site_status API中,由于server_name参数没有进行适当的校验,直接被用于SQL查询,从而导致了SQL注入的风险。
漏洞原理:这个宝塔SQL注入漏洞的原理基于对server_name参数的不当处理。在宝塔 WAF 的get_site_status API中,server_name参数没有进行适当的校验和清洗,直接被用于构造SQL查询。这种处理方式使得攻击者可以通过构造恶意的server_name参数值来操纵SQL语句,从而实现SQL注入攻击。
通过构造特定的请求,作者成功地利用这个漏洞执行了SQL命令,包括获取数据库名称和MySQL版本信息,以及执行任意SQL查询。这表明攻击者可以利用这个漏洞对数据库进行任意操作
官方响应:目前宝塔官方尚未对这个问题进行公开回复,可能已通过暗改方式修复,但用户仍需要注意
安全建议:
1. 宝塔用户应该立即检查自己的系统,看是否存在被这个漏洞利用的迹象。
2. 关注宝塔官方的通告和更新,及时安装最新的安全补丁。
3. 考虑采取额外的安全措施,比如使用第三方的安全工具来增强WAF的防护能力。
注:用户卸载 WAF 也可避免该问题
参考信息:V2EX
【开源网络服务端nginx核心开发人员脱离F5后启动Freenginx项目 开始非公司实体运行-哔哩哔哩】 https://www.bilibili.com/video/av1750630662?p=1&unique_k=2333
Repost from 每日沙雕墙
喂老婆在干嘛呢 你电话那头为什么啪啪啪响啊,哦哦你在打舞萌啊,为什么你那里有另一个男人的声音啊?哦哦和路人拼机啊,那你诶不对啊为什么会有不要不要的声音,哦哦原来是不要大力拍打或滑动啊。但是为什么那里会有喘气声呢原来是你给他开了茄子打得很累在休息 那我不打扰你们了你们要玩得开心啊
这个生物作业感觉没必要补了 tmd看着题看了十分钟你告诉我错误原因是缺锌的"完全培养液"是错误说法 应该说缺锌的培养液 我看你妈是不是缺点性病了这么出题
【可令 AMD GPU 运行英伟达 CUDA 应用,第三方项目“ZLUDA”宣布开源-哔哩哔哩】 https://www.bilibili.com/video/av1950514913?p=1&unique_k=2333
