Yahoo! 奇摩修复广告站 SQL Injection 漏洞

原创 maqingxi  2013-05-07 14:10  阅读 262 次 评论 2 条
摘要:

Yahoo! 奇摩关键字广告搜便利网站,在今年2月被埃及安全专家发现有SQL Injection漏洞,并立即回 […]

Yahoo! 奇摩关键字广告搜便利网站,在今年2月被埃及安全专家发现有SQL Injection漏洞,并立即回报给雅虎,随后雅虎在4月紧急更新修补了此漏洞。漏洞发生在 Yahoo! 奇摩关键字广告搜便利网站 index.php 页面,搜便利网站不同于 Yahoo! 奇摩的关键字广告系统,类似广告黄页平台,开放让各商家自行上传相关资料。

Yahoo! TW MKT SQL Injection

Yahoo! 奇摩的关键字广告搜便利网站存在SQL漏洞

Yahoo! 奇摩表示,这个问题与 Yahoo! 奇摩关键字广告系统本身并无关联,并在第一时间修正问题。且该网页为公开内容,无资料泄漏疑虑,Yahoo! 奇摩也会持续对内部员工与外包厂商进行相关安全规范的教育训练。

黑客可利用这个漏洞,远端操控SCID参数,并植入特殊的SQL指令,通过时间延迟来判断SQL指令是否执行成功,成功的话就会破坏资料库应用程序。这种利用时间差的方式,属于SQL Injection攻击中的一种技巧,称之为SQL Blind Injection。黑客无需取得使用者的帐号密码就可以进行攻击,也因此,安全专家将此漏洞列为高风险等级。

企业对外服务需要使用资料库,除非不使用SQL指令,否则就会有遭受SQL Injection攻击的风险,黑客甚至会以机器人程序发动大量的SQL Injection攻击(Mass SQL Injection)。在2010年与2013年所发布的(Open Web Application Security Project,OWASP)报告中,Injection类型攻击位于榜首,看来需要引起企业的注意。

Via 太平洋电脑网

历史上的今天:

本文地址:https://www.yseeker.com/archives/9111.html
版权声明:本文为原创文章,版权归 maqingxi 所有,欢迎分享本文,转载请保留出处!

发表评论


表情

  1. 花无缺
    花无缺 【农民】 @回复

    漏洞真是无处不在,看来没有最好,只有更好!!!

  2. 花无缺
    花无缺 【农民】 @回复

    漏洞真是无处不在,看来没有最好,只有更好!!!