CGI 通用 SQL 注入检测（潜在，第二顺序，第二次通过）

high Nessus 插件 ID 48927

语言：

简介

Web 应用程序显示错误消息。

描述

通过调用已发现且具有先前已收集值的 CGI 来引发 SQL 错误消息。* 这可能起因于暂时性 SQL 失败：然而，即使应用程序不受注入的影响，SQL 错误消息仍会经常泄露数据库结构和查询信息。这些信息可以帮助攻击者。此外，这可能表示应用程序未对增多的流量或非预期的数据做出回应，且可能导致拒绝服务问题。* 其可能会由“第二顺序”SQL 注入触发：术语“第二顺序 SQL 注入”是用以描述注入中的特制 SQL 查询在注入应用程序后，不会立即发生作用。注入的内容可存储并在以后执行。攻击者可利用 SQL 注入来绕过认证、读取机密数据、修改远程数据库，甚至是控制远程操作系统。