人人网分站存在SQL注入和反射型XSS漏洞的数据安全隐患

最新推荐文章于 2024-04-13 00:16:14 发布

UneDatabase

最新推荐文章于 2024-04-13 00:16:14 发布

阅读量217

点赞数

CC 4.0 BY-SA版权

文章标签： sql xss 数据库数据安全

本文链接：https://blog.youkuaiyun.com/UneDatabase/article/details/133586922

数据安全专栏收录该内容

117 篇文章 ¥59.90 ¥99.00

订阅专栏

本文揭示了人人网分站存在的SQL注入和反射型XSS安全漏洞，详细解释了这两种漏洞的工作原理，并给出了防范措施。为确保用户数据安全，建议网站及时修复漏洞，采用参数化查询和输入过滤。用户也应提高警惕，避免点击可疑链接。

数据安全一直是网络世界中的一个重要问题，而网站的安全性对于用户信息的保护尤为关键。然而，就在不久前，我们发现人人网分站存在着严重的数据安全隐患，主要涉及SQL注入和反射型XSS漏洞。本文将详细介绍这两种漏洞的原理，并提供相应的代码示例。

SQL注入漏洞

SQL注入是一种常见的Web应用程序安全漏洞，攻击者通过构造恶意的输入，使得应用程序在处理SQL查询语句时发生错误，从而导致数据库中的数据被非法访问或篡改。下面是一个简单的示例：

<?php
$userId = $_GET['id'];
$sql = "SELECT * FROM users

了解本专栏

订阅专栏解锁全文

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

UneDatabase

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

订阅专栏

使用人人开源项目遇到的一些坑

woshihedayu的博客

05-21

2301

最近，使用人人开源项目作为后台管理系统的模板，遇到了很多问题，在此做一下总结。首先，前台项目遇到的一个问题就是，package.json中有一个依赖项叫"node-sass"，会导致npm install下载依赖包失败。解决办法，首先去掉这个依赖项，执行npm i node-sass命令,下载最新版本，然后执行npm install下载下载全部依赖项。后台遇到的问题就是，springboot启动的时候会报编译错误，折腾了很久才发现原来，人人开源的后台项目只能用jdk1.8的版本，用jdk11就会报编译

人人开源renrenadmin后台系统redis cluster session bug 修复

11-15

renren.io 下开源资源admin系统使用redis cluster 共享session时存在重复登录bug，此文件修复了该bug

参与评论您还未登录，请先登录后发表或查看评论

人人影视路由二代刷Breed

weixin_50219581的博客

04-12

7005

第一步开始下载所需固件全程不用捅菊花。电脑开启telnet服务，禁用无线，IP设为自动获取，连接路由器lan口，wan口不要连接。下载好软件包，内含所有工具及相关固件。首先开始还原一下路由器 1、电脑浏览器（我用的是360极速浏览器）打开192.168.8.1登陆管理页面，进入功能“访问控制”功能，点击添加出现MAC地址栏 2、在地址栏出现框内XX:XX:XX:XX:XX什么都不要填鼠标右键点审查元素功能出现下列代码，其它浏览器是英文的（建议下载360极速浏览器） <input n

使用人人开源遇到的bug

weixin_43956859的博客

04-11

542

前端给后端传数据时，后端获取数据为空。前端所传参数是有数据的可是后端获取不到前端传过来的数据一开始是以为接口问题获取不到参数，当使用postman传参，调用接口是成功。开始找解决办法，改变前端参数格式，将返回数据类型设为json类型，可是无果。 dataType:"json", 在后端，将获取的参数类型添加注解@RequestParam，使返回的数据自动变成对象类型。可是人人开源框架这个注解不适用。因为chrome浏览器，使用这个注解只会一个一个字段传，没办法变成对象。 public

谷粒商城中使用人人开源发现的bug

qq_52458633的博客

05-05

324

使用人人开源开发后台时发现代码依赖都正确但是运行时调用方法的地方爆红。在properties中找到<lombok.version>修改如下。导致的原因是lombok的版本和spring版本不一致导致的。因此修改renren-fast的pom。后即可正常运行（pom一直爆红不用管）

奇安信安全扫描漏洞解决路径遍历和存储型xss和反射xss攻击漏洞

11-09

亲测可用，中级漏洞，解决服务器段请求伪造 final String forURL = ESAPI.encoder().encodeForURL(url); restTemplate.exchange(forURL, HttpMethod.GET,new HttpEntity<String>(headers), List.class, params);

网络安全基于CWE Top 25的SQL注入与XSS漏洞分析：sqli-labs-master项目安全审计报告

最新发布

10-15

报告显示该项目主要存在三类高危漏洞：跨站脚本（XSS）持久化与反射型漏洞共146个，信息泄露问题14个，以及SQL注入漏洞129个。这些问题集中出现在多个“Less-X”模块的PHP文件中，涉及用户输入未正确转义、敏感信息...

极致CMS（以下简称_JIZHICMS）的一次审计-SQL注入+储存行XSS+逻辑漏洞.pdf

03-22

在极致CMS中，我们发现了多个SQL注入漏洞，这些漏洞可以让攻击者轻松地访问或修改数据库中的数据。例如，在FrPHP/lib/Controller.php文件中的frparam()函数中，我们发现了一个SQL注入漏洞。该函数用于获取URL参数...

预防XSS攻击和SQL注入XssFilter

05-19

XSS是一种经常出现在web应用中的计算机安全漏洞，它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin...

Web应用安全分析报告：基于OWASP Top 10 2017标准的SQL注入与XSS漏洞检测及修复建议

10-15

项目存在严重的注入风险（A1 Injection），尤其是SQL注入问题，在多个PHP文件中通过`mysql_query()`和`mysqli_multi_query()`函数从用户输入（如`$_GET`、`$_POST`、`$_SERVER`）直接接收数据而未做有效过滤或预处理...

人人开源密码校验_开源密码术更安全的三个原因

编程故事的地方

05-21

383

人人开源密码校验密码学的目的是使信息保密，而开源的目的是使代码公开。因此，我们不应该对密码学算法开源吗？多个人多次问过我，所以我认为这是一个值得解决的问题。许多开发人员似乎对加密和安全系统（特定于应用程序的加密系统实现）的印象是保密的，如果他们的详细信息不公开。这离事实还远。根据Kerckhoffs的原理，也称为香农准则：敌人知道这个系统。人们应该在这样的假设下...

大志非才不就，大才非学不成—博文资源汇总

GarfieldEr007的专栏

03-16

5969

零、苦逼码农的自我修养系列 PS：为什么此部分序号是零而不是一？因为这是作为一个码农所应该具有的基础之中的基础，要想做个好码农，此部分还得花大力气啃书啊，这决定了我们看待计算机程序的高度。 0.1 数据结构与算法学习总结系列　　（1）你必须知道的指针基础系列：　　　　{ 预备篇 gcc开发环境搭建 } 　　　　{ 指针的声明和使用、数组与指针的关系 } 　　　　{

2024陇剑杯答题笔记（更新中）(1)，写给程序员的Flutter详细教程

2401_83974064的博客

04-13

1010

还有兄弟不知道网络安全面试可以提前刷题吗？费时一周整理的160+网络安全面试题，金九银十，做网络安全面试里的显眼包！王岚嵚工程师面试题（附答案），只能帮兄弟们到这儿了！如果你能答对70%，找一个安全工作，问题不大。对于有1-3年工作经验，想要跳槽的朋友来说，也是很好的温习资料！【完整版领取方式在文末！！

人人网的分享网页功能存在诸多安全漏洞

swordheart的博客

04-11

492

漏洞详情简要描述： 人人网的分享网页功能存在诸多漏洞. 这些漏洞可导致跨站攻击,任意文件读取，代理攻击和信息泄露等各种安全隐患. 详细说明： 人人网SNS社区的分享站外连接功能存在严重安全隐患, 其后台调用的Ajax接口为 http://share.renren.com/parse_share.do 向其接口提交参数link=*用于适用人人网服务器读取网络共享信息和视频图片信息等.但是由于底层适用类curl库,而没有正确过滤URL导致可以读取内网诸多信息. 如提交 http://share.ren

人人都爱A-B 待改

热门推荐

Decmxj1229的博客

09-14

109万+

#include #include #include <string.h> #include <math.h> using namespace std; int main(){ int n,m; int judge; int a[2][10000]={0},b[10000]; while(1){ judge=0; scanf("%d%d",&n,&m);...

SpringBoot-人人开源框架整合H2数据库，MySql转H2数据库

dovelixian的博客

03-25

3671

基于springBoot 人人开源框架，mysql 转H2 数据库集成。

零基础计算机入门，分享人人可以参考的路线，私藏的干货视频和书单，为你的程序员生涯助力，呐喊！

程序员入门进阶

10-10

1230

零基础计算机入门，分享人人可以参考的路线，私藏的干货视频和书单，为你的程序员生涯助力，呐喊！大家好，今天分享下零基础该如何学习计算机，以及推荐一些相关的视频，书籍。要学习计算机，第一件事情是必须有兴趣，而不是所谓的钱多。因为钱多的工作很多，这个不是学习的真正理由。没有金刚钻别揽瓷器活，我来说下怎么判断是否能在计算机行业吃到一碗饭。首先说下我的故事，我是怎么对计算机感兴趣的。小时...

精选：全球51家最具特色超实用网站合集

kakaxia6337的专栏

04-07

3万+

博主花费3天时间精心搜罗的51家精彩特色网站，每一个网站都无任何病毒、弹窗广告，并且可以快速访问。其中包含音乐试听类、电影观看类、购物指导类、相亲交友类、网络赚钱类、美食介绍类、旅游信息类、奇趣万象类、文章阅读类、应用软件类等等网站，我相信总有一个网站是你所喜欢的。PS：以下所有网址请用鼠标右键打开访问！《催眠、音乐、钢琴、轻音乐、流行前沿、中国风、吉他曲、欧美风类音乐网站》1.SongTasteSongTaste是一个音乐分享的产品。打开电脑，可能你的第一件事情是戴上耳机，打开音乐播放器。可是寻找你喜欢的

人人网第三方应用SQL注入漏洞

swordheart的博客

04-14

676

漏洞详情披露状态： 2010-07-24：细节已通知厂商并且等待厂商处理中 1970-01-01：厂商已经确认，细节仅向厂商公开 1970-01-11：细节向核心白帽子及相关领域专家公开 1970-01-21：细节向普通白帽子公开 1970-01-31：细节向实习白帽子公开 2010-08-23：细节向公众公开简要描述： 人人网第三方应用SQL注入漏洞详细说明：某第三方应用php过滤不严导致的SQL注入漏洞漏洞证明： http://apps.renren.com/tod

JIZHICMS审计揭示：SQL注入、存储型XSS与逻辑漏洞详解

在本次针对极致CMS (JIZHICMS) 的全面审计报告中，作者详细探讨了发现的几个关键漏洞类型，包括SQL注入、储存行XSS和逻辑漏洞。审计主要集中在以下几个部分： 1. **SQL注入**: 作者指出，审计过程中发现了SQL注入...