简析web注入攻击

注入攻击是众多攻击之一,在注入攻击中,攻击者给程序提供恶意的输入,解析引擎把恶意输入作为命令或者查询的一部分,顺带着改变了程序执行的流程。

注入是web程序最古老的和最危险的攻击之一,它们能导致数据被偷,数据丢失,数据完整性丢失,dos ,甚至系统沦丧。主要产生原因是对用户输入验证不足。

这种攻击方式是web安全的主要问题之一,在OWASP Top 10 web安全风险列表中排行第一。注入攻击,尤其是SQL注入(SQLi攻击) 和跨站(xss),它们不仅危险并且普遍,特别是遗留在程序里面。

攻击面比较大的(特别是xss和Sql注入漏洞)注入漏洞尤其可怕。此外,注入攻击是漏洞中非常好理解的一种,这就意味着有许多免费提供和可靠的工具容许甚至一些没有经验的攻击者自动化的乱用这些漏洞。

SQL注入(SQLi)和跨站(xss)是许多常用注入攻击之一,下面列出常用攻击类型

第一种 代码注入

攻击者通过网站类型注入相应的代码,这个代码以当前网站用户的权限执行系统命令,在高级事件中,攻击者可能溢出来提权导致真个 web服务器的沦丧.

第二种 CRLF注入

攻击者注入一个特殊的CRLF字符,这个字符被用来区分http回复头和正文,导致可以写任意正文内容,这种攻击一般和xss结合使用。

第三种 XSS

攻击者注入任意脚本(一般是javascript)到合法网站或者web程序中,这个脚本执行在客户端

第四种 Email头注入

这种攻击和CRLF攻击很相似,攻击者发送恶意的IMAP/SMTP 命令

第五种 Host头注入

攻击者乱用HTTP Host头的绝对信任来篡改密码重设功能和web缓存

第六种 LDAP 注入

攻击者注入LDAP语句来执行任意 LDAP命令,获得修改LDAP树的内容的权利

第七种 OS命令注入

攻击者用当前web应用程序的权限来注入系统命令,在高级案例中,攻击者通过溢出获得权限提升导致系统沦丧

第八种 SQL 注入

攻击者注入sql语句来读取和修改数据 库数据,在高级sql注入案例中,攻击者能执行sql语句写服务器上的任意文件和甚至执行系统命令,这会导致系统沦丧

第九种 XPath 注入

攻击者注入数据到应用程序中来执行精心准备的XPath查询,以此来获得无授权访问和bypass授权

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/313518.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

在副业刚需的时代,如何掌握副业的正确姿势?

前言近期,伴随着“副业刚需”这个词语的流行,关于“职场人要不要发展副业”的话题再一次被炒得沸沸扬扬。有人认为副业是刚需,是抵御中年危机的锦囊妙计,甚至是中年人该有的自觉,没有副业的人不足以谈人生,…

使用.NET Core创建Windows服务(二) - 使用Topshelf方式

原文:Creating Windows Services In .NET Core – Part 2 – The “Topshelf” Way作者:Dotnet Core Tutorials译者:Lamond Lu译文:使用.NET Core创建Windows服务(二) - 使用Topshelf方式使用.NET Core创建…

常用加密算法(Java实现)总结

1、Java的安全体系架构 Java中为安全框架提供类和接口。JDK 安全 API 是 Java 编程语言的核心 API,位于 java.security 包(及其子包),以及sun.securityAPI包(及其子包)中。设计用于帮助开发人员在程序中同…

怎样的项目才能称为“成功项目”?

作者:邹溪源,长沙资深互联网从业者,架构师社区合伙人!引子这个故事讲的是一家拥有百年历史的制造业大厂的信息化转型过程中的波折。这家企业拥有超过三万名员工,它是某行业的领先品牌,但是在信息化程度上却…

彩虹表

一、简介 彩虹表就是一个庞大的、针对各种可能的字母组合预先计算好的哈希值的集合,不一定是针对MD5算法的,各种算法的都有,有了它可以快速的破解各类密码。越是复杂的密码,需要的彩虹表就越大,现在主流的彩虹表都是1…

深入Dapper.NET源码

经过业界前辈、StackOverflow多年推广,「Dapper搭配Entity Framework」成为一种功能强大的组合,它满足「安全、方便、高效、好维护」需求。但目前中文网路文章,虽然有很多关于Dapper的文章但都停留在如何使用,没人系统性解说底层原理。所以有了此篇「深入Dapper源码」想带大家进…

DDoS攻击与防御

一、DDOS介绍 要了解DDOS攻击是什么,首先要了解DOS攻击的基本原理是至关重要的。 DoS攻击是最早出现的,它的攻击方法说白了就是单挑,是比谁的机器性能好、速度快。但是现在的科技飞速发展,一般的网站主机都有十几台主机&#xf…

DRDoS(memcache漏洞导致的反射型分布式拒绝服务攻击)

一、DDoS基础 见博文:DDoS攻击与防御 二、Memcached 反射DDOS攻击原理 反射DDOS是发送大量带有被害者IP地址的请求给反射服务器,反射服务器对IP地址源做出大量回应,形成拒绝服务攻击。CLOUDFLARE的这张图很好的解释了DDOS反射攻击过程&…

田牌魔术 | .NET Core 3.0 + Azure 远程点亮树莓派上的一盏灯

点击上方蓝字关注“汪宇杰博客”导语3年前,我写过一篇《Windows 10 IoT Core Azure 远程控制LED》,实现了《生活大爆炸》中的注孤生实验,让信号从家里出发,绕地球转一圈,经过微软美国数据中心,返回家里点亮…

使用Hash碰撞进行DoS攻击

一、哈希表碰撞攻击的基本原理 哈希表是一种查找效率极高的数据结构,很多语言都在内部实现了哈希表。PHP中的哈希表是一种极为重要的数据结构,不但用于表示Array数据类型,还在Zend虚拟机内部用于存储上下文环境信息(执行上下文的…

EF Core 实现读写分离的最佳方案

前言公司之前使用Ado.net和Dapper进行数据访问层的操作, 进行读写分离也比较简单, 只要使用对应的数据库连接字符串即可. 而最近要迁移到新系统中,新系统使用.net core和EF Core进行数据访问. 所以趁着国庆假期拿出一两天时间研究了一下如何EF Core进行读写分离.思路根据园子里…

SSL工作原理

本文介绍了SSL原理、安全机制、工作过程和典型网络应用。 缩略语列表 一、概述 1.1 产生背景 基于万维网的电子商务和网上银行等新兴应用,极大地方便了人们的日常生活。受到人们的青睐。 因为这些应用都须要在网络上进行在线交易,它们对网络通信的…

在 ASP.NET Core 项目中使用 AutoMapper 进行实体映射

一、前言在实际项目开发过程中&#xff0c;我们使用到的各种 ORM 组件都可以很便捷的将我们获取到的数据绑定到对应的 List<T> 集合中&#xff0c;因为我们最终想要在页面上展示的数据与数据库实体类之间可能存在很大的差异&#xff0c;所以这里更常见的方法是去创建一些…

SSL与TLS

1、SSL和TLS的概念与区别 什么是SSL? SSL&#xff08;Secure Socket Layer&#xff0c;安全套接字层&#xff09;&#xff0c;为Netscape所研发&#xff0c;用以保障在Internet上数据传输之安全&#xff0c;利用数据加密(Encryption)技术&#xff0c;可确保数据在网络上之传输…

.NET开发者必须学习.NET Core

很多的.NET开发者在接触.Net Core之前&#xff0c;对于linux系统一点也不了解&#xff0c;也未曾有过主动去学习的念头。在接触了.Net Core之后才会慢慢学习linux相关知识&#xff0c;很多同学想转Java&#xff0c;这个很扎心&#xff0c;你有很好的条件转向.NET Core为啥要转J…

Java事务管理

事务的ACID属性&#xff1a;原子性(Atomicity )、一致性( Consistency )、隔离性或独立性( Isolation)和持久性(Durabilily) ACID 特性 A&#xff08;原子性&#xff09;事务的原子操作单元&#xff0c;对数据的修改&#xff0c;要么全部执行&#xff0c;要么全部不执行&#x…

如何提高QnA maker机器人训练中文语义理解的能力

这是一个常见的问题&#xff0c;在人工智能的世界里面&#xff0c;图像理解、语言及语义理解、数据理解是三个核心领域。而关于语言及语义理解&#xff0c;又与具体的语言和文字密切相关。目前来说&#xff0c;大家都是用机器学习去训练模型&#xff0c;如果要更好的理解中文&a…

分布式数据一致性(数据多份副本一致性)

前言 分布式数据库的数据一致性管理是其最重要的内核技术之一&#xff0c;也是保证分布式数据库满足数据库最基本的ACID特性中的 “一致性”(Consistency)的保障。在分布式技术发展下&#xff0c;数据一致性的解决方法和技术也在不断的演进&#xff0c;本文就以分布式数据库作…

Bumblebee微服务网关之请求统一验证

对于微服务网关来说&#xff0c;统一请求验证是一个比较重要和常用的功能&#xff0c;通过网关验证后台服务就无须关注请求验证&#xff1b;对于多语言平台的服务而言制定验证方式和变更验证配置都是一件比较繁琐和工作量大的事情。Bumblebee提供JWT验证插件&#xff0c;只需要…

分布式事务基础

这一篇主要介绍分布式事务的基础知识&#xff0c;一些基础的算法、定理、简单应用等。下篇文章介绍互联网业界的具体实践方案。 1、CAP定理 CAP定理是由加州大学伯克利分校Eric Brewer教授提出来的&#xff0c;其核心思想是任何基于网络的数据共享&#xff0c;系统最多只能满…