绿盟视频会议系统SQL注入

  通过注入能够拿到管理账户密码,然后登录后台查看会议密码,通过会议密码能够进入到远程会议中,恶意攻击者能够窃取某些敏感信息。

  http://211.151.49.196:18080/V2Conf/jsp/user/loginAction.do

  其实是V2 Conference视频会议系统较低版本的SQL注入,注入发生在登录时用户名的输入框内,使用以下注入语句可测试:

  1' or (select benchmark(300000,md5(user())) from users where substring(username,1,5)='admin')#



  修复方案:

  升级补丁

(0)

相关推荐

  • SQL 注入技术详解

    1.1概述 1.2背景 1.3字符编码 2.1综合测试 2.2测试过程 2.3分析结果 3.1绕过验证 3.2 SELECT 3.2.1 直接利用 ' 号 3.2.2 基于UNION 3.2.3 利用 ...

  • 如何检测SQL注入技术以及跨站脚本攻击

    在最近两年中,安全专家应该对网络应用层的攻击更加重视.因为无论你有多强壮的防火墙规则设置或者非常勤于补漏的修补机制,如果你的网络应用程序开发者没有遵循安全代码进行开发,攻击者将通过80端口进入你的系统 ...

  • 防止sql注入的几种方法

    在我们的项目开发中,常常面临的问题就是sql的注入,脚本攻击,如何才能使系统的代码更加的健壮,防止sql的注入呢,本文将介绍几种方法来防止sql的注入. 操作方法 01 JBDC方式查询,我们可以利用 ...

  • 如何防止sql注入

    SQL注入攻击的危害性很大. 操作方法 01 普通用户与系统管理员用户的权限要有严格的区分. 如果一个普通用户在使用查询语句中嵌入另一个Drop Table语句,那么是否允许执行呢?由于Drop语句关 ...

  • 视频会议系统

    操作方法 01 视频会议视频会议系统,又称会议电视系统,是指两个或两个以上不同地方的个人或群体,通过传输线路及多媒体设备,将声音.影像及文件资料互传,实现即时且互动的沟通,以实现会议目的的系统设备.视 ...

  • 视频会议系统接入网络的七种方式介绍

    对于大多数用户来说,对视频会议系统最为关注的因素主要有以下几个方面:音视频质量、系统价格、系统的安全和可扩展性。当前普遍存在的网络环境主要有两种情况,一种是基于电路交换的网络,如ISDN、DDN、PS ...

  • 防护黑客必学招数 SQL注入拦截-MYIIS-VIF助你一臂之力

    首先,MYIIS-VIF为站长提供了2种方式的注入设置。 1. 全局自动SQL注入拦截。 2. 自己加入规则的拦截方式。 全局自动SQl注入拦截类似自己给用户添加了一些常用的SQL注入关键字拦截。这些 ...

  • 视频会议系统接入网络的七种方式

    对于大多数用户来说,对视频会议系统最为关注的因素主要有以下几个方面:音视频质量、系统价格、系统的安全和可扩展性。当前普遍存在的网络环境主要有两种情况,一种是基于电路交换的网络,如ISDN、DDN、PS ...

  • 如何建立安装远程视频会议系统?

    安装远程的视频会议系统 你可以采取三种方式; 1.预算相对来说较多 :比可以采取全部硬件的方式来做! 结构就是主会场所需设备:一个MCu 、一个终端、会议专用摄像头、音响麦克、显示设备! 分会场所用到 ...