OWASP top 10 (2017) 学习笔记-注入

最新推荐文章于 2024-05-03 19:27:54 发布
转载 最新推荐文章于 2024-05-03 19:27:54 发布 · 164 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:http://www.cnblogs.com/ScriptKid-Lu/p/10242947.html

本文深入探讨了注入漏洞,包括SQL注入、NoSQL注入、OS注入和LDAP注入等类型,阐述了这些漏洞如何通过不受信任的数据执行非预期命令或访问敏感数据,以及它们可能导致的数据丢失、破坏或泄露等问题。同时,文章提供了检测注入漏洞的场景示例,并提出了预防思路,如参数化查询和输入过滤。

A1:2017 - 注入

漏洞描述:

将不受信任的数据作为命令或查询的一部分发送到解析器时,会产生诸如SQL注入、NoSQL注入、OS注入和LDAP注入的注入缺陷。攻击者的恶意数据可以诱使解析器在没有适当授权的情况下执行非预期命令或访问数据。

漏洞影响:

注入能导致数据丢失、破坏或泄露给无授权方,缺乏可审计性或是拒绝服务。注入有时甚至能导致主机被完全接管。

检测场景:

SQL注入:

  数字型 若 and 1=1正常,and 1=2 异常,则存在注入点。

  字符型 若 ‘and ‘1’=’1正常,‘and ‘1’=’2异常,则存在注入点。

OS注入:

  尝试用  && 、||  符号插入OS命令

预防思路:

1、(参数化)将数据与命令语句、查询语句分隔开来。选择是使用安全的API,完全避免使用解释器,或提供参数化界面的接口。

2、(输入过滤)使用白名单过滤或转义的方法过滤用户输入。

转载于:https://www.cnblogs.com/ScriptKid-Lu/p/10242947.html

信息安全学习笔记(七)------OWASP top 10之一
weixin_40999066的博客
03-20 640
信息安全学习笔记(七)------开放式Web应用程序安全项目(OWASP
(OWASP)(笔记)(代码审计)OWASP TOP TEN 2021
最新发布
aaaadoga的博客
07-16 1136
这篇文章是关于作者学习2021版owasp top 10的笔记在我个人看来,了解这份报告,一个目的是为了面试(笑),另一个目的是方便确定代码审计的切入点,关于这一点,我在文章最后进行了一个总结,这个总结可能不够全面,哪位朋友有意见或疑惑可以留言或联系在学习了这一份报告后,我们在审计一个项目时,可以考虑从以下方面入手系统的访问控制机制系统提供的api是否能接受不同的http方法的请求?系统的CORS配置是什么?有无漏洞?能不能直接访问系统的后台界面?系统的认证和授权框架。
owasp top10漏洞讲解
07-22
web渗透之逻辑漏洞,1. 注入 2. 失效的身份认证和会话管理 3. 跨站攻击 4. 不安全的对象直接引用 5. 伪造跨站请求 6. 安全配置错误 7. 限制URL访问失败 8. 未验证的重定向和转发 9. 应用已知脆弱性的组件 10. 敏感数据暴露
OWASP Top10学习
m0_60466340的博客
12-13 374
OWASP Top10是什么? 首先介绍下OWASP,开放式Web应用程序安全 项目(OWASP,Open Web Application Security Project)是一个非营利组织,不附属于任何企业或财团,它提供有关计算机和互联网应用程序的公正、实际、有成本效益的信息。其目的是协助个人、企业和机构来发现和使用可信赖软件。 OWASP项目最具权威的就是其“十大安全漏洞列表”(OWASPTop 10),OWASP Top 10不是官方文档或标准,而只是一个被广泛采用的意识文档,被用来分类网络安全
【每天学习一点新知识】OWSAP TOP10
RexHa的博客
11-22 1125
OWASP开放式Web应用程序安全项目(open web application security project)每年会通过确定企业面临的最严重的10类威胁,以此提高人们对Web应用程序安全的关注度。
owasp top10 2017 最新版
01-23
owasp top10 2017 最新版,包含与owasp top10 2013的对比,
OWASP WebGoat---安全测试学习笔记(一)
热门推荐
某技术爱好者的专栏
04-13 2万+
OWASP WebGoat---安全测试学习笔记(一)
OWASP Mutillidae 靶机实验指导书
06-08
OWASP Mutillidae II实验指导书通过具体的页面漏洞分类,将2017版的OWASP Top 10应用安全风险中的每个风险通过实例进行说明。 具体知识点涵盖如下: 1. 注入攻击: - SQL注入:演示如何在数据库查询中插入恶意SQL...
【安全牛学习笔记】kali TOP10 安全工具:
edu_aqniu的博客
11-20 2166
kali TOP10 安全工具: burpsuite截断信息 maltego收集信息 metasploit framework渗透测试框架,有许多安全工具 nmap网络发现扫描器 owasp-zap 渗透、拦截、扫描工具 sqlmap   web注入探测 wireshark 监视网络流量: :~#apt-get install netspeed
OWASP-TOP10-2021中文版V1.0
01-28
OWASP-TOP10-2021中文版V1.0
OWASP top 10
11-23
web安全入门经典资料,有一定的权威性。
多罗叶指-Web安全之OWASP TOP10漏洞.pdf
06-18
Tsrc线上培训PPT 讲解人 冰尘
OWASP-TOP10-2021 最新中文版V1.0.pdf
12-26
OWASP-TOP10-2021中文版V1.0.pdf
OWASP Top 10--跨站脚本(XSS)
ccAbner的博客
05-07 840
说明:本文章仅限于对跨站脚本漏洞的学习和了解        跨站脚本漏洞,即XSS发生在当应用程序发送给浏览器的页面中包含用户提供的数据,而这些数据没有经过适当的验证或转义(Escape)或没有使用安全的JavaScript API。1、定义        跨站脚本攻击(Cross Site Scripting),缩写为XSS(为了避免与样式CSS混淆,缩写为XSS),恶意攻击者往Web页面里插入...
2024年网络安全最全OWASP-TOP-10漏洞之XSS_渗透漏洞wotp10
2401_84297455的博客
05-03 4210
1.URL进入服务器时自动进行一次默认解码2.进入deny方法之前进行参数处理时,会通过mergeParams方法中的urldecode函数进行第二次解码3.在创建连接操作helper::createLink()中,通过parse_str()函数进行第三次编码环境:windows11+phpstudyV8+php5.4.45+apache程序框架:骑士cms V3.4.0特点:存储型xss,过滤绕过。
OWASP TOP 10 2017版 web应用程序,10个最严重的漏洞
06-07 899
知识源:http://www.owasp.org.cn/owasp-project/OWASPTop102017v1.3.pdf 菜鸟教程 https://www.youtube.com/user/OWASPGLOBAL 演示视频 https://www.owasp.org/index.php/Category:OWASP_Application_Security...
OWASP 十大网站安全风险 (一): 注入攻击
qq_44005305的博客
01-12 734
OWASP是 open web application security project 的缩写。这个系列主要介绍这十个最多被攻击的安全漏洞。
mutillidae2017A1SQL手工注入
xiaoyingcsdn的博客
07-18 852
环境: PHPstudy Mutillidae-2.7.11 将mutillidae级别调至最低 然后我们到mutillidae的注入点: OWASP 2017 --> ”A1 - Injection” —>> ”SQLi - Extract Data” —>> ”User Info” 须知 SQL注入最重要的是寻找注入点,mutillidae 这里面的注入...
OWASP Top 10 2017版中英文对照最新发布
以下将围绕“OWASP Top 10 2017版发布中英文对照”展开详细知识点。 首先,“OWASP Top 10”涵盖的范围非常广泛,它列出了对网络应用安全威胁的十大类,它们是: 1. 注入攻击(Injection) 2. 失效的身份认证...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值