高危漏洞

提问 未结 1 345
@
@ VIP3 2020-06-24 15:02:39   最后修改:2020-07-22 19:28:06
悬赏:20积分 收藏
产品:ani 版本:
1、敏感数据明文传输 漏洞描述: 用户登录过程中使用URL编码传输用户登录信息,若用户遭受中间人攻击时,攻击者可直接获取该用户登录账户,从而进行进一步攻击。 2、SQL注入漏洞 漏洞描述: Web程序代码中对于用户提交的参数未做过滤就直接放到SQL语句中执行,导致参数中的特殊字符打破了SQL语句原有逻辑,攻击者可以利用该漏洞执行任意SQL语句,如查询数据、下载数据、写入webshell、执行系统命令以及绕过登录限制等。 3、任意文件上传漏洞,可获取webshell及服务器权限 漏洞描述: 开发者由于对安全意识不足,或者编写代码时对上传文件的合法校验存在缺陷,导致上传漏洞的产生 4、任意文件下载、删除 漏洞描述: 由于下载功能代码对下载文件类型、目录未做限制或限制不当,导致攻击者可下载或删除服务器任意文件。 已解决
回帖
  • @ VIP3 (楼主)
    2020-07-22 19:28:54
    问题已经解决,有类似的问题可以互相交流
    0 回复