IBM Net.Data 允许查看SQL漏洞发布时间:2001-07-11 更新时间:2001-07-11 严重程度:高 威胁程度:服务器信息泄露 错误类型:设计错误 利用方式:服务器模式 受影响系统 http://www-4.ibm.com/software/data/net.data/详细描述 Net.Data是一个多功能的方便学习的脚本语言,允许你建立强大 的WEB应用程序,安全漏洞可以导致攻击者查看未处理形式的SQL 查询,其中会泄露一些敏感信息如用户名和密码。 测试代码 在部分环境下,NET.DATA会在HTML响应的结果中包含实际的SQL语句, "DTW_SHOWSQL"环境变量需要设置“YES”和宏必须包含值为"YES"的 全局变量“SHOWSQL”来隐藏。 如果NET.DAT中的宏"macro1"是被宏文件"mymacros.mac"调用的,内容如 下: %DEFINE SHOWSQL="NO" %HTML (macro1) { <html> <body> @Execute_some_SQL() </body> </html> %} 而下面的URL请求: http://www.example.com/netdata/mymacros.mac/macro1?ValidVariable=ValidValue&SHOWSQL=YES 就可以导致查询的SQL语句被显示。 解决方案 不要依靠%DEFINE变量,设置如下:@DTW_ASSIGN(SHOWSQL, "NO") 相关信息 shalom.carmel at bigfoot.com |
