Apache軟件基金會（ASF）已發(fā)布安全更新，修復(fù)了Traffic Control中的一個關(guān)鍵安全漏洞。若此漏洞被成功利用，攻擊者便能在數(shù)據(jù)庫中執(zhí)行任意結(jié)構(gòu)化查詢語言（SQL）命令。該SQL注入漏洞被標(biāo)識為CVE-2024-45387，在CVSS評分系統(tǒng)中獲得了9.9分（滿分為10分）。

項目維護人員在公告里指出：“Apache Traffic Control在8.0.0版本至8.0.1版本（包含這兩個版本）的Traffic Ops中存在一個SQL注入漏洞，擁有‘a(chǎn)dmin’、‘federation’、‘operations’、‘portal’或者‘steering’角色的特權(quán)用戶可通過發(fā)送特制的PUT請求來執(zhí)行任意SQL語句?！?/p>

Apache Traffic Control屬于開源的內(nèi)容分發(fā)網(wǎng)絡(luò)（CDN）實現(xiàn)項目。2018年6月，該項目被宣布為頂級項目（TLP）。

與此同時，ASF還解決了Apache HugeGraph - Server在1.0版本到1.3版本中存在的身份驗證繞過漏洞（CVE - 2024 - 43441），其修復(fù)補丁已在1.5.0版本發(fā)布。ASF也發(fā)布了Apache Tomcat中的一個重要漏洞（CVE - 2024 - 56337）的補丁，此漏洞在某些條件下可能引發(fā)遠程代碼執(zhí)行（RCE），建議用戶將軟件實例更新至最新版本，以抵御潛在威脅。

SQL注入攻擊是一種常見的網(wǎng)絡(luò)攻擊手段，攻擊者通過在輸入字段中插入惡意SQL代碼，試圖欺騙應(yīng)用程序以執(zhí)行不安全的數(shù)據(jù)庫操作。

檢測SQL注入攻擊的方法

輸入檢查：對用戶輸入進行充分的驗證和轉(zhuǎn)義，防止惡意的SQL代碼被執(zhí)行。

日志分析：分析應(yīng)用程序的訪問日志，檢測異常的URL、異常的用戶行為等。

數(shù)據(jù)庫監(jiān)控：監(jiān)視數(shù)據(jù)庫的活動，檢測異常的查詢和操作。

漏洞掃描：使用漏洞掃描工具檢測應(yīng)用程序中的安全漏洞，包括SQL注入漏洞。

Web應(yīng)用程序防火墻：監(jiān)控應(yīng)用程序的流量，檢測和阻止SQL注入攻擊。

防御SQL注入攻擊的措施

使用預(yù)編譯語句和參數(shù)化查詢：這是防止SQL注入的最有效方法之一，通過使用占位符而不是直接拼接字符串來構(gòu)建SQL命令。

輸入驗證：檢查用戶輸入的合法性，確信輸入的內(nèi)容只包含合法的數(shù)據(jù)。

錯誤消息處理：避免出現(xiàn)詳細(xì)的錯誤消息，因為黑客們可以利用這些消息。

最小權(quán)限原則：為數(shù)據(jù)庫賬號分配最小必要的權(quán)限，即使存在注入漏洞，攻擊者也無法執(zhí)行高風(fēng)險操作。

參考來源：https://thehackernews.com/2024/12/critical-sql-injection-vulnerability-in.html