记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

Oracle数据库XXE注入漏洞(CVE-2014-6577)分析

在这篇文中,我们将共同分析一下Oracle数据库的XXE注入漏洞(CVE-2014-6577),Oracle公司1月20日发布了针对该漏洞的相关补丁。 有关XXE的相关知识,可以查看安全脉搏站内的另一篇文章《未知攻焉知防——XXE漏洞攻防》。 漏洞描述 Oracle数据库的XML解析器模块容易受到XML外部实体(XML External Entity , XXE)注入。 受影响版本:11.2.0.3, 11.2.0.4, 12.1.0.1 和12.1.0.2 所需权限:创建会话(CREATE SESSION) 技术细节 因为Oracle中XML解析器的安全特性,外模式得到了解决,但是并不解析。 这可以防止某些XXE注入攻击,例如读取远程数据库服务器上的本地文件。 然而,攻击者可以发送精心编制的SQL查询来触发
发布时间:2015-02-04 05:00 | 阅读:141679 | 评论:0 | 标签:系统安全 !ENTITY CVE-2014-6577 extractvalue() FTP HTTP ORA-31020

公告

九层之台,起于累土;黑客之术,始于阅读

推广

工具

标签云