搜狗某网站存在SQL注射漏洞

最新推荐文章于 2024-11-01 07:58:16 发布
原创 最新推荐文章于 2024-11-01 07:58:16 发布 · 4.8k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#web安全 #网络安全 #安全 #hack #wooyun

2010年,搜狗BBS论坛被发现存在SQL注入漏洞,允许攻击者进行导表操作获取user表数据。漏洞细节在一定时间内逐步向不同群体公开,并于8月29日向公众披露。修复方案建议过滤关键字以防止SQL注入。

漏洞详情

披露状态:

2010-07-30: 细节已通知厂商并且等待厂商处理中
2010-07-30: 厂商已经确认,细节仅向厂商公开
2010-08-09: 细节向核心白帽子及相关领域专家公开
2010-08-19: 细节向普通白帽子公开
2010-08-29: 细节向实习白帽子公开
2010-08-29: 细节向公众公开

简要描述:

搜狗某网站存在SQL注射漏洞

详细说明:

搜狗BBS论坛存在SQL注射漏洞,可进行导表。

漏洞证明:

http://bbs.sogou.com:80/similarBar.do?enterbar=&s=-999
MySql数据库,该URL为or字符型和search型注射弱点,数据库名 saybar2 用户 saybar@localhost
攻击者可导表获得user表。

修复方案:

过滤关键字

版权声明:转载请注明来源 Liscker@乌云

Sword-heart
关注
记对一网站存在SQL注入漏洞)渗透测试过程
DXfighting_的博客
04-14 931
网站sql注入漏洞利用
Web安全——SQL注入漏洞
Newscoo的博客
07-31 714
OWASP——注入攻击什么是OWASP——注入攻击?一、SQL注入1、常见SQL注入2、错误回显导致SQL注入3、注(Bind Injection)4、Timing AttackTiming Attack的使用方法:二、数据库攻击技巧1、常见攻击方式2、命令执行3、攻击存储过程4、编码问题5、SQL Column Truncation三、防御SQL注入1、使用预编译语句防御2、使用存储过程防御3、使用安全函数防御四、其他注入攻击其他注入攻击包括:XML注入、代码注入、CRLF注入。总结网安小白又又又来瞎咧
Love-Yi情侣网站3.0存在SQL注入漏洞
记录开发和安全学习过程中的点点滴滴
06-03 2772
Love-Yi情侣网站3.0存在SQL注入漏洞 是一个基于php框架和爱情主题的表白网站。经个人修改和设计更加美观好看,适合哄女朋友开心。本次测试也是对自己手法的一次测试,虽然没有进行绕过,但是还是对于信息收集的思路有了更进一步的提升,测试很有趣,休息的时候玩玩也不错,继续加油。
对搜狐、网易和TOM三大门户网站SQL注入漏洞检测
博文视点(北京)官方博客
10-28 9023
对搜狐、网易和TOM三大门户网站SQL注入漏洞检测 本文节选自《大中型网络入侵要案直击与防御》一书   此外,笔者对搜狐及TOM和网易这三大门户网站作了注入攻击检测,发现同样存在明显的注入漏洞安全性很糟糕。 1.MySQL注入检测搜狐门户网站 首先,来看看搜狐网站,搜狐网站上的动态网页大部分是采用PHP语言编写的,同样注入也很多。例如: http://app.sh.sohu.com/lo***l/s.php?id=636 这个网页是一个欧莱雅广告页面,未对提交的数字参数进行检测,可直接利用
春秋云镜wp day1
xy404的博客
10-13 3903
今天看到之前买了内网渗透那本书,今天看到靶场上线了,打一天玩一下,总体cve的洞很好刷,比打CTF轻松多了。
精选资源
搜狗网站提交批量搜狗绑站推送软件
02-17
搜狗网站提交,批量搜狗绑站软件,批量搜狗提交软件,全自动挂机推送
搜狗输入法官方网站3D立体图片切换焦点图
06-11
【标题】:“搜狗输入法官方网站3D立体图片切换焦点图” 在网页设计领域,焦点图是一种常见的元素,用于展示一组相关图片,并通过某种交互方式让访客能够轻松浏览和切换这些图片。在这个特定的案例中,我们关注的是...
搜狗输入法管理器提取版
最新发布
11-04
搜狗输入法是一款广受欢迎的中文输入软件,它提供了丰富的词库和智能输入技术,使得用户在进行中文打字时更加高效便捷。搜狗输入法管理器是该输入法的一个重要组件,它主要负责程序的更新、维护和个性化设置等功能。...
搜狗输入法(搜狗拼音)
07-21
搜狗输入法 简介: 智能高效输入:融合大模型技术与深度学习引擎,输入效率较传统提升 2 倍以上,智能纠错准确率高达 98%。同时具备百万级语义关联的超量词库,词库实时更新,让输入更精准、快速。还支持语音速记,...
精选资源
搜狗拼音网站所有词库文件
01-04
其背后依托的,正是搜狗拼音网站所有词库文件这一庞大的资源库。这些词库文件不仅存储着巨量的词语、短语和网络流行语,更是通过精准的数据分类与人工智能技术的加持,极大提升了中文输入的效率和准确性。 搜狗...
学习之sql注入漏洞网址的创建
06-06
学习sql注入,往往需要一个可注入的网址,这篇文章很好的解决了这个问题,我们可以自己创建一个自己用的地址来学习,可以让我们为所欲为。
存在大量漏洞的实例网站
05-04
这是一个漏洞实例的应用程序,该应用程序存在大量的漏洞
sql server 字段密码解密_SQL注入漏洞测试
weixin_39927059的博客
12-07 1126
SQL注入漏洞测试 --Write Up题目用到的工具AES加密网站:http://tool.chacuo.net/cryptaesBASE64加密网站:https://www.sojson.com/base64.htmlMD5加密网站:https://www.cmd5.com/1.靶场https://www.mozhe.cn/bug/deta...
网络安全信息收集-url采集查找可能存在sql注入漏洞的站点
HKkkkkSky的博客
09-22 2483
护网行动中使用msray+sqlmap快速定位到包含sql注入漏洞的站点。再进行护网行动中我们需要收集很多的站点进行测试,如果通过手动的去判断收集,未免效率太低,影响我们的进度,sql注入这样经典的漏洞,随着行业的发展已经有很多解决的方案了。及时手动也只是碰运气,其实通过google我们可以找到大把的有漏洞的、几乎无人管理的网站。今天就介绍一下本文中快速采集的一个思路。
网站最多,最简单的漏洞SQL
zhou150的博客
04-13 1320
电脑技术安全防护及入侵详解
常见的网站漏洞——SQL注入
计算机硕士的博客
04-15 956
常见的网站漏洞——SQL注入
Web TOP10漏洞sql注入
underline0的博客
12-27 2178
sql注入漏洞 信息搜集: 搜集数据库的操作系统(不同语言),数据库名(*),数据库用户(权限),数据库版本,网站路径(*)。 信息搜集下的问题处理: 版本问题 1.查询方式:mysql5.0版本以上定义了一个information_schema而5.0以下版本没有,则说明5.0版本以下查询猜、暴力查询(无据),而5.0以上通过有据查询。 2.写文件权限:在 MySQL 5.5 之前 secure_file_priv 默认是空; 在 MySQL 5.5之后 secure_file...
存在sql注入的公网站
h1008685的博客
11-01 1050
google用法收集一些存在sql注入漏洞的站点用于新手在实战中练习sql注入
Web安全开发:SQL注入攻击和网页挂马
热门推荐
09-13 1万+
 申明。文章仅代表个人观点,与所在公司无任何联系。 1.     概述网页挂马这个话题想来大家并不陌生。为什么有这么多的网页上存在着木马去攻击普通用户?不可否认,相当一部分网页原本就是恶意的:网页的作者故意在上面放上木马,然后通过各种手段引诱用户去浏览。但是绝大多数被挂马的网页原本是正常的网页,例如普通的教育网站,购物网站等等,只是网页被攻击者恶意修改后插入了木马代码。那么,攻
2012版搜狗网址导航网站源码与后台管理使用教程
后台管理系统的存在对于运营网站来说至关重要,它可以让用户无需直接操作源码,就能完成网站内容的更新、用户管理、数据统计等功能。 7. 免费开源的优势:源码被称为“完全免费”,这表明其开发和发布遵循开源协议...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值