51CTO首页
AI.x社区
博客
学堂
精品班
直播训练营
企业培训
鸿蒙开发者社区
WOT技术大会
AIGC创新中国行
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术2024年软考PMP项目管理软考资讯
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO题库小程序
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
账号设置 退出

phpMyAdmin SQL注入和跨站脚本漏洞

作者:佚名
安全 漏洞
脚本漏洞##远程攻击##立即处理[msg]影响版本: phpMyAdmin 3.x phpMyAdmin 2.11.x漏洞描述: BUGTRAQ ID: 36658 CVE ID: CVE-2009-3697,CVE-2009-3696

影响版本:

phpMyAdmin 3.x

phpMyAdmin 2.11.x漏洞描述:

BUGTRAQ  ID: 36658

CVE ID: CVE-2009-3697,CVE-2009-3696

phpMyAdmin是用PHP编写的工具,用于通过WEB管理MySQL。

phpMyAdmin没有正确地过滤对MySQL表格名称所提交的输入参数,远程攻击者可以通过提交恶意请求执行存储式跨站脚本攻击,并在用户浏览恶意数据时执行所注入的HTML和脚本代码;此外phpMyAdmin还没有正确地过滤提交给PDF schema生成器功能的各种参数,远程攻击者可以通过提交恶意请求执行SQL注入攻击。<*参考

http://secunia.com/advisories/37016/

http://www.phpmyadmin.net/home_page/security/PMASA-2009-6.php

https://bugzilla.redhat.com/show_bug.cgi?format=multiple&id=528769

http://bugs.gentoo.org/show_bug.cgi?format=multiple&id=288899

http://secunia.com/advisories/37089/ *>

SEBUG安全建议:

厂商补丁:

phpMyAdmin

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

http://www.phpmyadmin.net/

【编辑推荐】

  1. 谷歌发布Android安全漏洞补丁修复两个DoS漏洞
  2. 微软紧急发布SMBv2安全漏洞补丁缓解风险
  3. 360安全卫士:打漏洞补丁防止微软“黑屏”
责任编辑:安泉 来源: 安全中国
漏洞补丁
相关推荐
phpMyAdmin SQL书签HTML注入漏洞
注入漏洞远程攻击立即处理[msg]影响版本:phpMyAdmin3.x漏洞描述:BUGTRAQID:35543CVE(CAN)ID:CVE20092284phpMyAdmin是用PHP编写的工具,用于通过WEB管理MySQL

2009-10-25 13:32:09

Movable Type脚本安全绕过漏洞
绕行漏洞远程攻击立即处理[msg]影响版本:MovableTypeMovableTypePro4.25MovableTypeMovableTypePro4.24MovableTypeMovableTypeOpenSource4.25MovableTypeMovableTypeOpenSource4.24MovableTypeMovableTypeEnterprise4.25MovableTypeMovableTypeEnterprise4.24

2009-10-27 15:21:04

脚本攻击:如何防止XSS漏洞
XSS攻击可用于获得对特权信息的访问,本文讲的就是应对它们的方法。

2020-12-21 09:40:06

脚本攻击XSS漏洞
Horde Passwd模块backend参数脚本漏洞
泄漏敏感信息远程攻击立即处理[msg]影响版本:HordePasswd3.1漏洞描述:BUGTRAQID:35573HordeFramework是个以PHP为基础的架构,用来创建网络应用程序;Passwd是其中用于更改口令的模块。

2009-10-27 15:09:04

WordPress 4.0以下版本存在脚本漏洞
近日,在4.0版本以下的Wordpress被发现存在跨站脚本漏洞(XSS),新版本的Wordpress已经修复了这些问题。为了安全起见,建议站长们尽早更新到WP新版本。

2014-11-27 09:26:23

PHP漏洞全解(四)-xss脚本攻击
本文主要介绍针对PHP网站的xss跨站脚本攻击。跨站脚本攻击是通过在网页中加入恶意代码,当访问者浏览网页时恶意代码会被执行或者通过给管理员发信息的方式诱使管理员浏览,从而获得管理员权限,控制整个网站。攻击者利用跨站请求伪造能够轻松地强迫用户的浏览器发出非故意的HTTP请求,如诈骗性的电汇请求、修改口令和下载非法的内容等请求。

2012-04-12 14:45:13

脚本攻击请求伪造之道的解析
本文主要讲述的是跨站脚本攻击与跨站请求伪造之路的解析,同时本文也有对同源攻击所涉及的几种攻击手段的讲述,以下就是文章的主要内容讲述。

2010-09-27 17:37:10

脚本攻击深入解析之:漏洞利用过程
在本文的上篇中,我们详细介绍了当前Web应用所采取的安全措施,如同源策略、cookie安全模型以及Flash的安全模型;而本文将介绍跨站脚本漏洞利用的过程,并对HTML注入进行深入分析。

2009-03-09 12:37:48

FCKeditor connectors模块多个脚本及目录遍历漏洞
脚本漏洞远程攻击立即处理[msg]影响版本:FCKeditor

2009-10-25 14:09:06

CWE Top25漏洞榜单发布,脚本跃居榜首
近日,在CWE(通用漏洞枚举)最新发布的2020年25种最危险软件漏洞榜单中,跨站脚本(XSS)名列榜首(下图)。

2020-08-25 10:55:59

漏洞跨站脚本XSS
基于XSRF的SQL注入技术
本文将向读者介绍一种基于跨站请求伪造的SQL注入技术。PhpMyAdmin是目前最流行的PHP项目,在现实中PhpMyAdmin已被大量采用。

2009-02-04 16:11:45

XSS脚本攻击初探
XSS跨站脚本攻击的基本原理和SQL注入攻击类似(个人观点),都是利用系统执行了未经过滤的危险代码,不同点在于XSS是一种基于网页脚本的注入方式,也就是将脚本攻击载荷写入网页执行以达到对网页客户端访问用户攻击的目的,属于客户端攻击。

2013-01-11 17:33:46

全面解析脚本攻击
跨站脚本(crosssitescripting,XSS)是一种迫使Web站点回显可执行代码的攻击技术,而这些可执行代码由攻击者提供、最终为用户浏览器加载。本文通过十二个问答,详细介绍了跨站脚本攻击。

2010-06-07 20:19:49

脚本攻击深入解析:危害及cookie盗窃
本文将详细介绍跨站脚本的危害,以及攻击者是如何诱骗受害者的;最后介绍针对跨站脚本攻击的防御措施。

2009-03-09 17:19:53

Web开发常见的几个漏洞解决方法
基本上,参加的安全测试(渗透测试)的网站,可能或多或少存在下面几个漏洞:SQL注入漏洞、跨站脚本攻击漏洞、登陆后台管理页面、IIS短文件文件夹漏洞、系统敏感信息泄露。

2013-04-16 09:46:44

华为E960 HSDPA路由器短信脚本漏洞
华为E960路由器允许通过其Web接口发送和接收短信,但在收件箱视图中未经转义便显示了每条短信的前32个字符,因此远程攻击者可以通过发送恶意的短信消息执行跨站脚本攻击。

2009-02-26 16:24:31

专家称:防止Web应用威胁任重道远
SQL注入和跨站脚本仍然是最有针对性的Web应用漏洞,然而专家称,一些新技术(例如HTML5)本身就具有危险的漏洞。根据安全云托管公司FireHost的报告显示,在2012年前两个季度之间,SQL注入(SQLi)攻击上升了69%。

2012-10-09 09:50:26

老话重提:防范脚本攻击
本文主要介绍随着社交媒体的兴起,跨站脚本(XSS)攻击又有了新的用武之地,并且提出针对这些攻击我们新的应对方法。

2010-06-30 16:26:05

微软披露Azure中的严重漏洞,可用来执行脚本攻击
微软AzureBastion和AzureContainerRegistry披露了两个严重的安全漏洞,这些漏洞可能被利用来执行跨站脚本攻击(XSS)。

2023-06-15 12:26:32

2011年云安全技术盘点之云扫描
目前,业内典型的Web应用漏洞检测服务商能够为Web应用系统提供各种漏洞检测,比如SQL注入漏洞、跨站脚本漏洞、CGI漏洞等应用漏洞以及网页挂马检测等等。那整个2011年,又有哪些云扫描服务在我们身边呢?

2012-01-03 22:41:54

点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服