偵測

CGI 一般 SQL 插入 (第二次通過)

high Nessus Plugin ID 42479

語系:

概要

Web 應用程式可能容易遭受 SQL 插入攻擊。

說明

Nessus 可藉由提供特製參數給 CGI 而獲得來自基礎資料庫的一個錯誤。此錯誤表示 CGI 受到一個 SQL 插入弱點影響。

攻擊者可能惡意利用此瑕疵,繞過驗證、讀取機密資料、修改遠端資料庫或甚至控制遠端作業系統。

解決方案

修改相關 CGI,以便正確逸出引數。

另請參閱

https://en.wikipedia.org/wiki/SQL_injection

http://www.securiteam.com/securityreviews/5DP0N1P76E.html

http://www.nessus.org/u?e5c79f44

http://www.nessus.org/u?11ab1866

Plugin 詳細資訊

嚴重性: High

ID: 42479

檔案名稱: torture_cgi_sql_injection2.nasl

版本: 1.24

類型: remote

系列: CGI abuses

已發布: 2009/11/12

已更新: 2021/1/19

支援的感應器: Nessus

風險資訊

CVSS v2

風險因素: High

基本分數: 7.5

媒介: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

弱點資訊

必要的 KB 項目: Settings/enable_web_app_tests

參考資訊

CWE: 20, 713, 722, 727, 751, 77, 801, 810, 89, 928, 929