记一次内网渗透中的sql注入

1.sql注入漏洞

漏洞等级:

高危

漏洞位置:

基础资料>汛限水位信息功能>

漏洞描述:

恶意攻击者可通过SQL注入漏洞构造SQL注入语句,对服务器端返回特定的错误信息来获取有利用价值的信息,甚至可篡改数据库中的内容并进行提 

漏洞验证:

记一次内网渗透中的sql注入_第1张图片

 

 

记一次内网渗透中的sql注入_第2张图片

 

 

记一次内网渗透中的sql注入_第3张图片

 

 虽然没拿到太多有用的东西,但是基本确定了sql注入的存在,鉴于时间因素没有拿sqlmap跑,到这吧

 修复建议:

  1. 对产生漏洞模块的传入参数进行有效性检测,对传入的参数进行限定
  2. 当用户输入限定字符时,立刻转向自定义的错误页,不能使用服务器默认的错误输出方式
  3. 对以上标签进行危险字符过滤,禁止('、"、+、%、&、<>、()、;、and、select等)特殊字符的传入
  4. 加密数据库内存储信息
  5. 与数据库链接并访问数据时,使用参数化查询方式进行链接访问

你可能感兴趣的:(记一次内网渗透中的sql注入)