国产 无码 综合区,色欲AV无码国产永久播放,无码天堂亚洲国产AV,国产日韩欧美女同一区二区

  1. Toy模板網(wǎng)首頁
  2. >Toy博客

Owasp Top10 漏洞解析 之注入

2年前作者:網(wǎng)安云分類:Toy博客閱讀(31)違法舉報(bào)

這篇具有很好參考價(jià)值的文章主要介紹了Owasp Top10 漏洞解析 之注入。希望對(duì)大家有所幫助。如果存在錯(cuò)誤或未考慮完全的地方,請(qǐng)大家不吝賜教,您也可以點(diǎn)擊"舉報(bào)違法"按鈕提交疑問。

一、注入漏洞是什么?


注入漏洞,即將不受信任的數(shù)據(jù)作為命令或查詢的一部分發(fā)送到解析器時(shí),會(huì)產(chǎn)生諸如SQL注入NoSQL注入、OS 注入和LDAP注入的注入缺陷。攻擊者的惡意數(shù)據(jù)可以誘使解析器在沒有適當(dāng)授權(quán)的情況下執(zhí)行非預(yù)期命今或訪問數(shù)據(jù)。

幾乎任何數(shù)據(jù)源都能成為注入載體,包括環(huán)境變量、所有類型的用戶、參數(shù)、外部和內(nèi)部Web服務(wù)。當(dāng)攻擊者可以向解釋器發(fā)送惡意數(shù)據(jù)時(shí),注入漏洞產(chǎn)生。

注入漏洞十分普遍,尤其是在遺留代碼中。注入漏洞通常能在SQL、LDAP、XPath或是NoSQL查詢語句、OS命令、XML解析器、SMTP包頭、表達(dá)式語句及ORM查詢語句中找到。注入漏洞很容易通過代碼審查發(fā)現(xiàn)。掃描器和模糊測(cè)試工具可以幫助攻擊者找到這些漏洞。

注入能導(dǎo)致數(shù)據(jù)丟失、破壞或泄露給無授權(quán)方,缺乏可審計(jì)性或是拒絕服務(wù)。注入有時(shí)甚至能導(dǎo)致主機(jī)被完全接管。您的應(yīng)用和數(shù)據(jù)需要受到保護(hù),以避免對(duì)業(yè)務(wù)造成影響。

?

二、漏洞分類


1、SQL注入

按照注入點(diǎn)類型分類
數(shù)字型、字符型、搜索型、GET 注入、POST注入、Cookie 注入、HTTP 頭部注入

按照?qǐng)?zhí)行效果來分類
基于布爾的盲注、基于時(shí)間的盲注、基于報(bào)錯(cuò)注入、聯(lián)合查詢注入、堆查詢注入、寬字節(jié)注入

2、NoSQL注入:

OS 注入、LDAP注入、HTML注入、Xpath注入、shell注入表達(dá)式注入。

?

三、漏洞產(chǎn)生的原因(威脅來源)

  • 用戶提供的數(shù)據(jù)沒有經(jīng)過應(yīng)用程序的驗(yàn)證、過濾或凈化。
  • 動(dòng)態(tài)查詢語句或非參數(shù)化的調(diào)用,在沒有上下文感知轉(zhuǎn)義的情況下被用于解釋器。
  • 在ORM (對(duì)象關(guān)系映射,Object Relational Mapping,簡(jiǎn)稱ORM)搜索參數(shù)中使用了惡意數(shù)據(jù),這樣搜索就獲得包含敏感或未授權(quán)的數(shù)據(jù)。
  • 惡意數(shù)據(jù)被直接使用或連接,導(dǎo)致SQL語句或命令在動(dòng)態(tài)查詢或存儲(chǔ)過程中同時(shí)包含結(jié)數(shù)據(jù)構(gòu)和惡意數(shù)據(jù)。


四、漏洞產(chǎn)生的影響

  • 數(shù)據(jù)丟失、損壞或篡改
  • 拖庫(信息泄露)
  • 奪權(quán),執(zhí)行OS命令或惡意代碼


五、如何防御?

  • 代碼審計(jì),代碼審計(jì)是最有效的檢測(cè)應(yīng)用程序的注入風(fēng)險(xiǎn)的辦法之一;
  • 不要使用動(dòng)態(tài)語句,或者參數(shù)化語句;不要使用拼接SQL語句;
  • 使用安全的APl;使用存儲(chǔ)過程來執(zhí)行所有的查詢;
  • 使用“最小權(quán)限”限制數(shù)據(jù)庫用戶的權(quán)限,不要使用管理員權(quán)限進(jìn)行數(shù)據(jù)庫連接;
  • 使用“黑/白名單”或正則表達(dá)式,對(duì)用戶輸入的信息執(zhí)行嚴(yán)格的輸入檢查;
  • 不要顯示詳細(xì)的錯(cuò)誤信息(信息泄露) ;
  • 在查詢中使用LIMIT和其他SQL控件,以防止在SQL注入時(shí)大量地泄露記錄;
  • 將用戶的登錄名、密碼等數(shù)據(jù)加密保存。

源代碼審計(jì) 點(diǎn)此鏈接 可免費(fèi)領(lǐng)取。另外,其中還包含第三方組件安全分析檢測(cè),對(duì)軟件源代碼安全漏洞和軟件中的開源組件漏洞進(jìn)行全面評(píng)估,全方位提升應(yīng)用安全性。

免費(fèi)檢測(cè)鏈接:源代碼+組件檢測(cè)文章來源地址http://www.zghlxwxcb.cn/news/detail-760726.html

到了這里,關(guān)于Owasp Top10 漏洞解析 之注入的文章就介紹完了。如果您還想了解更多內(nèi)容,請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章,希望大家以后多多支持TOY模板網(wǎng)!

本文來自互聯(lián)網(wǎng)用戶投稿,該文觀點(diǎn)僅代表作者本人,不代表本站立場(chǎng)。本站僅提供信息存儲(chǔ)空間服務(wù),不擁有所有權(quán),不承擔(dān)相關(guān)法律責(zé)任。如若轉(zhuǎn)載,請(qǐng)注明出處: 如若內(nèi)容造成侵權(quán)/違法違規(guī)/事實(shí)不符,請(qǐng)點(diǎn)擊違法舉報(bào)進(jìn)行投訴反饋,一經(jīng)查實(shí),立即刪除!

領(lǐng)支付寶紅包贊助服務(wù)器費(fèi)用

相關(guān)文章

  • TWO DAY | WEB安全之OWASP TOP10漏洞

    TWO DAY | WEB安全之OWASP TOP10漏洞

    TWO DAY | WEB安全之OWASP TOP10漏洞 OWASP:開放式Web應(yīng)用程序安全項(xiàng)目(Open Web Application Security Project),OWASP是一家國際性組織機(jī)構(gòu),并且是一個(gè)開放的、非盈利組織,它致力于協(xié)助政府、企業(yè)開發(fā)、升級(jí)各類應(yīng)用程序以保證其可信任性。所有OWASP的工具、文檔、研討以及所有分會(huì)都對(duì)

    2024年02月12日
    瀏覽(30)
  • OWASP TOP10 大主流漏洞原理和防范措施,易理解版

    OWASP TOP10 大主流漏洞原理和防范措施,易理解版

    章節(jié)目錄 回顧2017年和2021年OWASP主流漏洞都有哪些 一、訪問控制崩潰 表現(xiàn)形式 防范 二、敏感數(shù)據(jù)暴露 防范 三、注入 sql注入分類 SQL盲注 SQL注入產(chǎn)生點(diǎn) SQL注入的思路 盲注測(cè)試的思路 防范SQL 四、不安全的設(shè)計(jì) 產(chǎn)生的原因 業(yè)務(wù)漏洞的顯現(xiàn)體現(xiàn) 五、安全配置不當(dāng) 風(fēng)險(xiǎn)點(diǎn) 防范

    2024年02月05日
    瀏覽(34)

  • WEB十大安全漏洞(OWASP Top 10)與滲透測(cè)試記錄

    ????????每年 OWASP(開放 Web 應(yīng)用程序安全項(xiàng)目)都會(huì)發(fā)布十大安全漏洞。它代表了對(duì) Web 應(yīng)用程序最關(guān)鍵的安全風(fēng)險(xiǎn)的廣泛共識(shí)。了解十大WEB漏洞種類并善于在滲透測(cè)試中發(fā)現(xiàn)漏洞是安全行業(yè)人員的基本要求。 1.失效的訪問控制 2.加密機(jī)制失效 3.注入 4.不安全的設(shè)計(jì) 5.安

    2024年02月02日
    瀏覽(25)

  • OWASP Top 10

    OWASP (Open Web Application Security Project) Top 10 是指現(xiàn)在最常見的Web應(yīng)用程序安全風(fēng)險(xiǎn)清單,該清單是OWASP組織的一份關(guān)于Web應(yīng)用程序安全方面的指南。 OWASP Top 10 最新版本為 2017 年發(fā)布。其中包括的風(fēng)險(xiǎn)如下: 注入攻擊 (Injection) 注入攻擊是指攻擊者通過惡意輸入,將攻擊代碼插入

    2024年02月06日
    瀏覽(28)

  • OWASP TOP 10 之敏感數(shù)據(jù)泄露

    ?許多Web應(yīng)用程序和APl都無法正確保護(hù)敏感數(shù)據(jù),例如: 財(cái)務(wù)數(shù)據(jù)、醫(yī)療數(shù)據(jù)和PII數(shù)據(jù)。攻擊者可以通過竊取或修改未加密的數(shù)據(jù)來實(shí)施信用卡詐騙、身份盜竊或其他犯罪行為。未加密的敏感數(shù)據(jù)容易受到破壞,因此我們需要對(duì)敏感數(shù)據(jù)加密,這些數(shù)據(jù)包括: 傳輸過程中的數(shù)據(jù)

    2024年02月03日
    瀏覽(26)

  • 2022-滲透測(cè)試-OWASP TOP10詳細(xì)講解

    2024年02月14日
    瀏覽(27)

  • 網(wǎng)安云知識(shí) | OWASP TOP 10之安全配置錯(cuò)誤

    這些漏洞使攻擊者能經(jīng)常訪問一些未授權(quán)的系統(tǒng)數(shù)據(jù)或功能。有時(shí),這些漏洞導(dǎo)致系統(tǒng)的完全攻破。業(yè)務(wù)影響取決于您的應(yīng)用程序和數(shù)據(jù)的保護(hù)需求。 安全配置錯(cuò)誤可能發(fā)生在應(yīng)用程序堆棧的任何級(jí)別,包括網(wǎng)絡(luò)服務(wù)、平臺(tái)、Web服務(wù)器應(yīng)用服務(wù)器、數(shù)據(jù)庫、框架、自定義代碼

    2024年03月09日
    瀏覽(33)
  • 從OWASP API Security TOP 10談API安全

    從OWASP API Security TOP 10談API安全

    應(yīng)用程序編程接口(API)是當(dāng)今應(yīng)用驅(qū)動(dòng)世界創(chuàng)新的一個(gè)基本元素。從銀行、零售、運(yùn)輸?shù)轿锫?lián)網(wǎng)、 自動(dòng)駕駛汽車、智慧城市,API 是現(xiàn)代移動(dòng)、SaaS 和 web 應(yīng)用程序的重要組成部分,可以在面向客 戶、面向合作伙伴和內(nèi)部的應(yīng)用程序中找到。 從本質(zhì)上講,API 暴露了應(yīng)用程序

    2024年04月25日
    瀏覽(29)

  • owasp top10之不安全的反序列化

    ? 更多網(wǎng)絡(luò)安全干貨內(nèi)容: 點(diǎn)此獲取 ——————— Java?提供了一種對(duì)象序列化的機(jī)制,該機(jī)制中,一個(gè)對(duì)象可以被表示為一個(gè)字節(jié)序列,該字節(jié)序列包括該對(duì)象的數(shù)據(jù)、有關(guān)對(duì)象的類型的信息和存儲(chǔ)在對(duì)象中數(shù)據(jù)的類型。 將序列化對(duì)象寫入文件之后,可以從文件中讀取

    2024年01月22日
    瀏覽(23)
  • 自學(xué)網(wǎng)絡(luò)安全(白帽黑客)必看!OWASP十大漏洞解析!

    自學(xué)網(wǎng)絡(luò)安全(白帽黑客)必看!OWASP十大漏洞解析!

    在學(xué)習(xí)網(wǎng)絡(luò)安全之前,需要總體了解安全趨勢(shì)和常見的Web漏洞,在這里我首推了解OWASP,因?yàn)樗碇鴺I(yè)內(nèi)Web安全漏洞的趨勢(shì); 目錄 一、OWASP簡(jiǎn)介 OWASP Top 10: 2013版至2017版改變了哪些內(nèi)容 二、OWASP Top 10 A1:注入漏洞 A2:失效的身份認(rèn)證 A3:敏感數(shù)據(jù)泄露 A4:XML 外部實(shí)體漏洞(XXE)

    2024年02月10日
    瀏覽(20)

覺得文章有用就打賞一下文章作者

支付寶掃一掃打賞

博客贊助

微信掃一掃打賞

請(qǐng)作者喝杯咖啡吧~博客贊助

支付寶掃一掃領(lǐng)取紅包,優(yōu)惠每天領(lǐng)

二維碼1

領(lǐng)取紅包

二維碼2

領(lǐng)紅包