本文介绍了注入缺陷,特别是SQL注入的原理和防范措施,包括数字型和字符型注入,以及如何通过SQLMap等工具进行测试。此外,还提到了XML注入、代码注入、JSON注入和CRLF注入等其他类型的注入攻击。在WebGoat课程中,重点讲解了命令注入、数字型SQL注入和XPath型注入等多个实战案例。
注入缺陷(Injection Flaws)
第一部分 SQL注入
注入攻击是WEB安全领域中一种最为常见的攻击方式。在“跨站脚本攻击”一章中曾经提到过,XSS本质上也是一种针对HTML的注入攻击。而在“我的安全世界观” 一章中,
提出一个安全设计原则----“数据与代码分离”的原则,它可以说是专门为了解决注入攻击而生的。
注入攻击的本质,是把用户输入的数据当做代码来执行。这里有两个关键条件,第一个是用户能够控制输入;第二个是原本程序要执行的代码,拼接了用户输入的数据。
----------《白帽子讲WEB安全》
SQL注入的本质就是通过构造特殊的用户输入,绕过代码限制,使用户输入的数据带
最低0.47元/天 解锁文章
扫一扫
5703
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
