2月27日，國家信息安全漏洞共享平臺（CNVD）的漏洞列表收錄了兩個新的SQL注入漏洞——CNVD-2019-04308和CNVD-2019-05341。根據(jù)CNVD公布的信息來看，這兩個漏洞的危害級別均被評定為“高”，且為攻擊者獲取數(shù)據(jù)庫敏感信息創(chuàng)造了條件。

所謂SQL注入，就是通過把SQL命令插入到Web表單提交或輸入域名或頁面請求的查詢字符串，最終達(dá)到欺騙服務(wù)器以執(zhí)行惡意SQL命令的目的。具體來說，它是利用現(xiàn)有應(yīng)用程序，將惡意SQL命令注入到后臺數(shù)據(jù)庫引擎執(zhí)行的能力，它可以通過在Web表單中輸入惡意SQL語句得到一個存在安全漏洞的網(wǎng)站上的數(shù)據(jù)庫，而不是按照設(shè)計者意圖去執(zhí)行SQL語句。

從漏洞描述我們得知，這兩個漏洞分別會影響到國內(nèi)兩家網(wǎng)絡(luò)公司的建站系統(tǒng)——濟(jì)南白菜網(wǎng)絡(luò)技術(shù)有限公司（一家致力于互聯(lián)網(wǎng)品牌建設(shè)與網(wǎng)絡(luò)營銷的公司）和中山市商友網(wǎng)絡(luò)科技有限公司（一家從事網(wǎng)站建設(shè)、技術(shù)外包、WAP手機(jī)網(wǎng)站建設(shè)、微信及小程序定制開發(fā)、系統(tǒng)UI及平面設(shè)計、PHP系統(tǒng)開發(fā)、網(wǎng)易企業(yè)郵箱的公司）。

“濟(jì)南白菜網(wǎng)絡(luò)技術(shù)有限公司建站系統(tǒng)sh***.php和ne***.php頁面存在SQL注入漏洞，攻擊者可利用該漏洞獲取數(shù)據(jù)庫敏感信息?！盋NVD在漏洞描述中寫道，“中山市商友網(wǎng)絡(luò)科技有限公司建站系統(tǒng)存在SQL注入漏洞，攻擊者可利用該漏洞獲取數(shù)據(jù)庫敏感信息。”

值得注意的是，CNVD表示它已確認(rèn)并復(fù)現(xiàn)了其所述的情況，且已通過電子郵件向受漏洞的兩家公司進(jìn)行了通報，但到目前為止這兩家公司尚沒有發(fā)布相關(guān)的解決方案或補(bǔ)丁。