网址:http://www.nkbp.com/about.php?id=1
漏洞描述:远大生命科学(武汉)有限公司(原名“武汉大安制药有限公司”)是一家集药品研发、生产与销售为一体的高科技医药综合企业,位于武汉市东西湖区金银湖生态园,占地面积八万平方米。公司隶属于中国远大集团,是集团生物板块龙头单位--远大生命科学(辽宁)有限公司的下属企业。
远大生命有限公司存在sql注入漏洞,攻击者可利用该漏洞获取数据库信息。
漏洞复现:sqlmap工具
sql修复建议:
1)严格检查输入变量的类型和格式,对于整数参数,加判断条件:不能为空、参数类型必须为数字,对于字符串参数,可以使用正则表达式进行过滤:如:必须为[0-9a-zA-Z]范围内的字符串。
2)永远不要使用动态拼装sql,可以使用参数化的sql或者直接使用存储过程进行数据查询存取。
3)过滤和转义特殊字符, 在变量前进行转义,对'、"、\等特殊字符进行转义。
4)不要把机密信息直接存放,加密或者hash掉密码和敏感的信息。
5)应用的异常信息应该给出尽可能少的提示,最好使用自定义的错误信息对原始错误信息进行包装
6)利用mysql的预编译机制, 把sql语句的模板(变量采用占位符进行占位)发送给mysql服务器,mysql服务器对sql语句的模板进行编译,编译之后根据语句的优化分析对相应的索引进行优化,在最终绑定参数时把相应的参数传送给mysql服务器,直接进行执行,节省了sql查询时间,以及mysql服务器的资源,达到一次编译、多次执行的目的,除此之外,还可以防止SQL注入。具体是怎样防止SQL注入的呢?实际上当将绑定的参数传到mysql服务器,mysql服务器对参数进行编译,即填充到相应的占位符的过程中,做了转义操作。
漏洞危害:
1、数据库中存储的用户隐私信息泄漏;
2、通过操作数据库对某些网页进行篡改;
3、修改数据库一些字段的值,嵌入网马链接,进行挂马攻击;
4、数据库服务器被恶意操作,系统管理员帐户被窜改;
5、数据库服务器提供的操作系统支持,让黑客得以修改或控制操作系统;
6、破坏硬盘数据,导致全系统瘫痪;