2022年04月03日
一、前言
本文将针对开发过程中依旧经常出现的SQL编码缺陷,讲解其背后原理及形成原因。并以几个常见漏洞存在形式,提醒技术同学注意相关问题。最后会根据原理,提供解决或缓解方案。
二、SQL注入漏洞的原理、形成原因
SQL注入漏洞,根本上讲,是由于错把外部输入当作SQL代码去执行。目前最佳的解决方案就是预编译的方式。
SQL语句在执行过程中,需要经过以下三大基本步骤:
代码语义分析
制定执行计划
获得返回结果
而一个SQL语句是由代码和数据两部分,如:
SELECTid
2022年04月03日
安全公司 Wiz 在微软 Azure 的 Linux 虚拟机上发现了一个严重的 RCE 漏洞,黑客可通过该漏洞轻松获得 root 权限。
这些漏洞被称为 "OMIGOD", 包括 CVE-2021-38647、CVE-2021-38648、CVE-2021-38645 和 CVE-2021-38649 。问题的根源是一个称为开放管理基础设施(OMI)的软件代理,它允许用户在整个环境中收集统计信息和同步配置,并嵌入在许多流行的 Azure 服务中,包括但不限于:
2022年04月03日
IBM报告指出,数据泄露事件的平均成本比上一年增长10%。
IBM与波耐蒙研究所合作分析了过去十几年来数据泄露事件的成本,发现去年见证了此类事件成本的大幅上涨,因为企业在全球新冠肺炎疫情期间转向远程办公并加速向云端迁移。在这两个主要原因和其他因素的影响下,数据泄露事件平均成本创下历史新高。
考虑远程办公因素:将远程办公纳入引发数据泄露原因的事件,其平均成本比不以远程办公为原因的事件高出107万美元。去年报告了数据泄露事件的企业中,17.5%认为远程办公是事发原因。超过50%的员工远程办公的企业
2022年04月03日
尽管微软表示深爱 Linux,但这点并没有在 Azure 云端得到很好的贯彻。Wiz 安全研究团队近日指出,他们在诸多流行的 Azure 服务中,发现了开放管理基础设施(OMI)软件代理中存在的一系列严重漏洞。问题在于当 Azure 客户在云端设置 Linux 虚拟机服务时,OMI 代理会在他们不知情的情况下自动部署。
(来自:Wiz Research)
但除非及时打上了补丁,否者攻击者就能够利用四个漏洞来获得提升后的 root 权限,从而远程执行任意恶意代码(比如加密文件以勒索赎金)。
2022年04月03日
未能有效管理网络漏洞的后果从未如此严重。一次数据泄露可能导致严重的声誉和财务损失,而且泄露的数量每年都在不断增加,而且没有失败。确实,漏洞管理已经不再只是另一种 IT 支出——它应该是一个关键的业务目标。
疫情给信息安全专业人员带来了巨大压力。随着网络安全预算紧张,数以百万计的员工已经全职或兼职转向远程办公,现在越来越复杂的威胁形势对未来提出了更加可怕的挑战。
组织在漏洞管理方面哪里出了问题?
从一开始,太多组织对漏洞管理的含义就已经过时了。不仅仅是扫描您的网络是否存
2022年04月03日
《MIT 科技评论》周三援引知情人士的话称:美国网络安全公司 Accuvant 开发一款 iMessage 漏洞利用工具,并将之出售给了为阿联酋工作的美国雇佣兵。作为阿布扎比“Karma”间谍项目的一部分,据称有数百人遭到了侵入。
Apple Insider指出,阿联酋在 2016 年采购并部署了这一iPhone漏洞利用工具,受害者中包括了不同政见者、活动人士、甚至外国领导人。
尽管尚不清楚 iMessage 攻击媒介的运作方式,但 Accuvant 也将相同的漏
2022年04月03日
根据Imperva一项为期五年的新研究,全球46%的本地数据库包含安全漏洞,其中大多数是严重或者高危漏洞。Imperva在五年内扫描了全球2.7万个数据库,发现平均每个数据库包含26个漏洞,其中约56%都是严重或者高危漏洞。这意味着一旦被利用,会导致严重的危害。
数据库安全地区排行
报告根据国家和地区的调查结果列出了数据库安全排行榜(下图),法国、澳大利亚、新加坡、英国和中国排在前五位。
报告指出,很多国家的数据库都存在超过全球平均水平的漏洞,无论是在易受攻击的数据库百分比方面,还是在每个数
2022年04月03日
根据Sonatype最新发布的《2021年软件供应链状况报告》,全球对开源代码的旺盛需求导致软件供应链攻击同比增长650%。
报告显示,全球的开发商累计从第三方开源生态系统“借用”超过2.2万亿个开源软件包或组件,以加快上市时间。这包括从Maven中央存储库下载的 Java、从PyPi下载的Python包、从npmjs和.NET NuGet包下载的JavaScript等。这些共享代码包通常包含公开披露的漏洞,攻击者可以利用这些漏洞。然而,Sonatype警告说,越来
2022年04月03日
超级任天堂(SNES,Super Nintendo Entertainment System)是任天堂全球知名主机NES(国内称为小霸王)的后续主机,主机采用16位色表现,令主机的画面表现在当时非常之棒。而作为当时的主机霸主,任天堂SNES主机上出现了非常多经典的游戏,现在大红大紫的游戏系列很多都是在SNES上发迹的。像勇者斗恶龙系列、传说系列、最终幻想系列、超时空之轮系列等等。当年的超级任天堂凭借全球数千万台的销量一直占据着游戏机市场的鳌头,在这个优秀的平台上,诞生过无数优秀的精品游戏,
2022年04月03日
微软在上个月更新了44个漏洞安全补丁,在本月则针对 66 个漏洞进行发布安全补丁,3个被评为紧急,62 个被评为重要,一个被评为中等严重性。除了该公司自本月初以来解决的基于 Chromium 的 Microsoft Edge 浏览器中的20 个漏洞之外。
本次比较重要的更新涉及CVE-2021-40444(CVSS 评分:8.8)的补丁,是 MSHTML 中一个积极利用的远程代码执行漏洞,利用带有恶意软件的 Microsoft Office 文档。
Windows DNS 公开披露但未被积极