Wokの自分をシチュー！書き込みのバグは、国家情報共有プラットフォームのセキュリティの脆弱性をキャッチされた[フォローアップ]

フォローアップへ

記事は、多くの記事を公開する必要がドラフトを終了する前に、このフォローアップ記事はデンバーの記事の下書きの底部に配置された、唯一の今までリリースされ、それに気づくために至っていない、私を許してください。

2019年12月16日午前8時30分には、私が最初の記事のプラットフォームに掲載ナゲッツに来た「失態、および国家安全保障上の脆弱性のバグ共有プラットフォームを書くキャッチ？"、オープンソースのプロジェクトでは、主に自分自身についての記事newbeeモールは、共有プラットフォームCNVDと国際安全保障の脆弱性CVEライブラリイベントのバグは、国家情報セキュリティの脆弱性が含まれています。記事は、我々はすべて読んで面白いので、かなり良い量を見つけ、今非常に面白い書くことができます。

午前8時30分には読んだことが4Kの量を確認するために3時間後に解放され、私は本当にここを参照してくださいすることはそう、数年前からの記事を書かれているが、恐怖と不安ですが、ナゲッツのために、私は新人でしたご支援のための特別な感謝あなたに！

記事では、全体の事件が終了した入れているが、以下の記事で友人がコメント、友人でもあるという考えは私に、グループ内のメッセージを与えた、私は少し拡大をやらせる、彼らはこの記事、話を書き始めたので、フォローアップの事と友人は、いくつかの質問をしたが、下書きの記事があまりにも多く、これを無視につながる、今まで作られた月の終わりになった、昨年末に行わなければならない、当惑。

私の夢は、CVE番号を所有しています

記事では、それを発行するだけでなく、友人のメッセージを述べた後、「私の夢は、CVE番号を所有することである」、次のように一緒に行くために友人を持っています：

彼らは尋ねることを敢えてしていない、私はいくつかのまま持っている、と私たちは編集者注の子供を知らない、ここでそれを参照してください。

私はこの事件の経験豊富CVEとCNVDを持っていますが、私はCVEまたはいくつかの奇妙な思いがするので、このダイアログ上でそれを見て、私はそれが本当であれば、常に彼らが私を応援感じか分かりません。

「：もちろん、私はという考え持って、このダイアログ上で見る、学ぶ行く、よく理解していないCVE番号が特定の値であるが、私はこのことを考えるので、」私にとって、この事はについて何も知らないと言うことができます開発者は、サークルの事ではないはず、との事で、より長期的なネットワーク・セキュリティ・サークルのようなものです、私はCVEの数の情報を確認するために彼の空き時間にありました。

私は、CVEを理解します

特に理解していないので、私が不適切な場合は、単純に、自分のアイデアについて話をするだけでなく、私を許して願っています。

CVEとは何ですか

CVEは、中国語に翻訳、我々はフォーカス、描画、認識したセキュリティ専門家の脆弱性辞書としてそれを理解することができ、「共通脆弱性」である「共通脆弱性」の略で、セキュリティの専門家を、この事は発生しませんサークルの事、それは奇妙なが正常であると感じるので、私たちは、CVE番号ごとCVE公式サイトでは、さまざまなアプリケーションやシステムのための脆弱性情報を探すことができ、セキュリティ企業や国家機関の多くはまた、言及した本明細書中のように、その脆弱性データベースとしてCVEを参照する人国内脆弱性データベースであるCNVD。

CVE番号は価値があります

CVEが終了し、我々はその後、主にオンライン整理の内容の一部を以下により、CVE番号の値を探します。

あなたは貴重な情報を提出する場合はまず、それは確かに同じではありません、直接ボーナスを得ることが可能であるが、異なる組織が、脆弱性の報酬の異なるレベルを異なる脆弱性報奨プログラムを有していてもよいCVEの脆弱性を提出し、それがそうですボーナスを得ます。直接ボーナスを取得しない場合でも、あなたはまた、いくつかの貴重なCVEの脆弱性CVE番号を提出することによって得ることができ、これらの要素があなたの履歴書に置くことができる第二には、就職活動は、倉庫業務の我々GitHubの開発者としてボーナスアイテムとして使用することができますまたはブログの記事、我々はまた、ボーナスアイテムとして、あなたの履歴書に置くことができます。

これらは、他の多くの価値があるかもしれない表面的な理解のための私の番号CVE値ではないが、私は知らないので、もはやは自分を示し続けます。

他の

すべてがうまくいけば取得は、公共の脆弱性監査、脆弱性、および段階ようで、フォームに記入して、対応するWebサイトに、短期で、アカウント、等のためのような、CVE番号を適用するためのイニシアチブを取る必要があり、ある脆弱性は本物ですそこにある、あなたは番号CVEの友人を得ることができます。

また、CVE番号もこの脆弱性は、前述のように、必ずしも本当ではないと述べ、この脆弱性は貴重であることを意味するものではありません取得newbee-モール、脆弱性が本当ですが、SQLインジェクションの脆弱性プロジェクトしかし、影響は個人的には、ネットワークセキュリティに影響を与えるCVE番号の値が大きくないことを感じていなかった、特に大規模ではなかったが、この愉快な事件は私がおびえ入れました。

SQLインジェクションの問題解決

私はこのバグは、実際に比較的単純な原因で説明する必要があるバグの解決プロセス、について尋ねた友人もあり、ときに私が使用しマッパーファイル転送パラメータである${}方法を、このように、補正することが可能です解像度パラメータとSQL文を実行しますが、SQLインジェクションの危険性がある、解決策が道に変更することで、処分する必要がある#{}パラメータの解像度を。

#{paramentName}プリコンパイラ・プロセスは、MyBatisのフレーム処理は、#{}SQL文が場合であろう#{}パラメータは、そのような変速機として、PreparedStatementのセット割り当ての方法、着信ストリング、アポストロフィ意志辺値を呼び出すプレースホルダで解析されましたキーワードパラメータ値に电脑、SQL文の中にスプライスするときになります'电脑'。

${paramentName}あるいはフレームMyBatisの中の処理の文字列、${}場合れるSQL文${}変数の値を置き換え、このようなキーワードパラメータが渡されているように、アポストロフィで両側に渡されたパラメータの値を増加させない电脑、スプライシング、ときSQL文はまだあります电脑。

そのため、使用${}この方法での直接交換があるので用語は、システムのセキュリティを助長されていませんSQLインジェクションの問題につながる可能性がある場合、値、一部の悪質なSQLキーワードは来てスプライスされているもののモザイクに渡されるどのような値がいくつかの不可逆的につながる可能性があります使用の損失#{}の方法は、その後、関係なく、渡されたものを、文字列として解析されます。

この知識は、あなたがチェックアウトすることができ、より多く知ってほしい、特に問題はない「$との違いの＃でMyBatisのを。」

決して不在パーティの広告

広告は、この記事ではN回、疲れた心を表示されます。

それは本当に私は猿の巣を刺しています。

波をクリーンアップする助けに管理者を探しているたびに、それは本当に難しいアップです。

最後に書かれました

小さなプロモーションを行い、興味のある友人は見ることができ、私は最近、ナゲッツのプラットフォーム上で冊子を発行し、「春ブーツ大規模なオンラインショッピングモールプロジェクト戦闘ガイド」（あなたが購入することができます下のリンクをクリックするか、画像をクリックして割引を8倍）オハイオ州：

ブックレットには、開発の基本を学ぶことだけで春を学習していない、特定のスキルを習得することができますが、他の技術的なフレームワークはまた、あらゆる段階での知識、ディープを展開するために、アカウントに最新の技術動向の使用を取る春ブーツ・テクノロジー・スタックに焦点を当てますブート毛皮はなく、単に、関連する技術スタックの統合春ブーツを学ぶない、そのソースと内部設計原則を知っている、あなたが質の高い学習へのを持っているので、大規模なショッピングモールシステムを構築するために春ブートテクノロジ・スタックを使用することが可能です舞台での経験。アウェイのHello Worldプロジェクトから、だから、両方のプロジェクトの完全な実用的な操作を得ることができることを、あなたはあなたの技術的な深さと給料の仕事を強化するために適切な保護を提供するために、現在のカイ手熱い春ブーツ・テクノロジー・スタックの上にポイントを助けることができます。

これは本物のモールのプロジェクトは、以下のページのプレビューの一部です：