博客

OWASP十大WEB程序安全风险之一:注入

2021-04-02 | 作者: Jason Lu

注入

注入攻击是黑客在试图访问数据时最常用的攻击方法。你首先需要做的是假设所有将要输入的数据在本质上都是恶意的。从这里开始,你可以构建所有必要的检查和过滤器来防止此类攻击。

例如,对于SQL注入,你可以使用输入验证函数来防止传递不正确的字符,并只允许与输入类型相关的字符通过,例如电子邮件。其它可以做的包括在将控制权移交给输入变量时不允许使用动态SQL。许多数据库和操作系统不断需要安全补丁,因此具有一个补丁管理过程通常很关键。

最后别忘了始终把你的数据库登录凭据分开并加密。

攻击示例 1:

使用SQL查询准备步骤来展示一个十分常见的漏洞,即SQL注入。

该示例表明, 该短程序在将用户输入发送至数据库前没有采取任何防御措施,因此用户可能插入某些恶意的SQL字符串,当输入提交到数据库时,这些恶意SQL字符串可能导致远程代码执行。

 

攻击示例 2

下面的示例直接使用 MD5 来执行密码检查,而不是正确地对其进行加盐。这可能意味着,如果系统的任何用户碰巧使用了其他人使用的密码,那么对系统具有管理控制权的人很可能会检查该结果,然后提取用户的密码。

 

点击此处了解爱科识如何修复OWASP相关缺陷。

 

通过使用我们的网站,表明您已经阅读并理解我们的Cookie政策及隐私政策