2月27日，國(guó)家信息安全漏洞共享平臺(tái)（CNVD）的漏洞列表收錄了兩個(gè)新的SQL注入漏洞——CNVD-2019-04308和CNVD-2019-05341。根據(jù)CNVD公布的信息來(lái)看，這兩個(gè)漏洞的危害級(jí)別均被評(píng)定為“高”，且為攻擊者獲取數(shù)據(jù)庫(kù)敏感信息創(chuàng)造了條件。

所謂SQL注入，就是通過(guò)把SQL命令插入到Web表單提交或輸入域名或頁(yè)面請(qǐng)求的查詢字符串，最終達(dá)到欺騙服務(wù)器以執(zhí)行惡意SQL命令的目的。具體來(lái)說(shuō)，它是利用現(xiàn)有應(yīng)用程序，將惡意SQL命令注入到后臺(tái)數(shù)據(jù)庫(kù)引擎執(zhí)行的能力，它可以通過(guò)在Web表單中輸入惡意SQL語(yǔ)句得到一個(gè)存在安全漏洞的網(wǎng)站上的數(shù)據(jù)庫(kù)，而不是按照設(shè)計(jì)者意圖去執(zhí)行SQL語(yǔ)句。

從漏洞描述我們得知，這兩個(gè)漏洞分別會(huì)影響到國(guó)內(nèi)兩家網(wǎng)絡(luò)公司的建站系統(tǒng)——濟(jì)南白菜網(wǎng)絡(luò)技術(shù)有限公司（一家致力于互聯(lián)網(wǎng)品牌建設(shè)與網(wǎng)絡(luò)營(yíng)銷的公司）和中山市商友網(wǎng)絡(luò)科技有限公司（一家從事網(wǎng)站建設(shè)、技術(shù)外包、WAP手機(jī)網(wǎng)站建設(shè)、微信及小程序定制開(kāi)發(fā)、系統(tǒng)UI及平面設(shè)計(jì)、PHP系統(tǒng)開(kāi)發(fā)、網(wǎng)易企業(yè)郵箱的公司）。

“濟(jì)南白菜網(wǎng)絡(luò)技術(shù)有限公司建站系統(tǒng)sh***.php和ne***.php頁(yè)面存在SQL注入漏洞，攻擊者可利用該漏洞獲取數(shù)據(jù)庫(kù)敏感信息?！盋NVD在漏洞描述中寫道，“中山市商友網(wǎng)絡(luò)科技有限公司建站系統(tǒng)存在SQL注入漏洞，攻擊者可利用該漏洞獲取數(shù)據(jù)庫(kù)敏感信息?！?/p>

值得注意的是，CNVD表示它已確認(rèn)并復(fù)現(xiàn)了其所述的情況，且已通過(guò)電子郵件向受漏洞的兩家公司進(jìn)行了通報(bào)，但到目前為止這兩家公司尚沒(méi)有發(fā)布相關(guān)的解決方案或補(bǔ)丁。