注入攻击

注入攻击的本质,还是因为数据跟代码没有相分离,把用户输入的数据作为代码的一部分执行

SQL注入

  • 盲注
    • 通过在条件拼接条件来查看页面返回结果
  • timeing attack
    • 通过在条件加上耗时函数,查看最终页面返回时间,来确定是否存在注入漏洞
    • 属于边信道攻击的一种

数据库攻击技巧

  • 读写文件
  • 命令执行
  • 字符集问题

防御

  • 预编译
  • 检查数据类型
  • 安全编码函数
    • OWASP ESAPI

其他注入攻击

  • XML注入
    • 用户输入的数据改变了XML的结构
  • 代码函数
    • 使用了代码执行函数执行了包含用户输入的代码
  • CRLF注入
    • 有些使用CRLF换行符分割的地方,如果用户输入的数据包含CRLF,则会造成问题
    • log
    • HTTP header

results matching " "

No results matching " "

results matching " "

No results matching " "