Injection Attacks-Log 注入

最新推荐文章于 2024-06-29 11:41:52 发布
转载 最新推荐文章于 2024-06-29 11:41:52 发布 · 409 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:https://yq.aliyun.com/articles/7922
文章标签:

#java #php #后端

本文探讨了日志注入和路径遍历攻击的技术细节及其防御措施。日志注入允许攻击者通过注入恶意数据篡改应用程序日志,而路径遍历攻击则利用文件路径参数的不当处理读取或修改服务器上的敏感文件。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

日志注入(也称日志文件注入)

很多应用都维护着一系列面向授权用户、通过 HTML 界面展示的日志,因而成为了攻击者的首要目标,这些攻击者试图伪装其他攻击、误导日志读者,甚至对阅读和分析日志监测应用的用户安装后续攻击程序。

日志的脆弱性取决于对日志编写过程的控制,以及是否确保对日志条目进行任何监控或分析时,日志数据被看作非置信数据源。

简单的日志系统可能使用file_put_contents()函数向文件中写入文本行。比如,程序员可能采用以下格式的字符串来记录登录失败的情形:

sprintf("Failed login attempt by %s", $username);

那么万一攻击者使用诸如“AdminnSuccessful login by Adminn”形式的用户名呢?

如果把来自非置信输入的该字符串插入日志中,攻击者就能顺利将其失败登录伪装为管理员用户无辜的失败登录。如再成功添加一次重试,数据的可信度甚至会更高。

当然,重点在于攻击者可以添加各种日志条目,还可注入XSS矢量,甚至还能注入字符,扰乱日志条目在控制台的显示。

日志注入的目的

注入的目标也可能为日志格式解释程序。如果分析器工具使用正则表达式解析日志条目,将其分解成数据字段,那么,注入的字符串可以通过精心构造以确保正则表达式与注入的多余字段相匹配,而非正确字段。例如,以下条目便可能造成问题:

$username = "iamnothacker! at Mon Jan 01 00:00:00 +1000 2009"; sprintf("Failed login attempt by $s at $s", $username, )

更过分的使用日志注入的攻击者可能试图建立目录遍历攻击,使日志出现在浏览器中。正常情况下,向日志消息中注入PHP代码并在浏览器中打开日志文件便可成功进行代码注入,攻击者可用精心设计并随意执行这类代码注入。这一点无需多讲。如果攻击者能在服务器上执行PHP,那么问题就大了,此时你的系统最好有足够的深度防御来将损害降至最低。

防御日志注入

最简单的日志注入防御方法是利用受认可的字符白名单对所有出站日志消息进行清理。比如,我们可以将所有日志限制为字母数字字符和空格。不属于该字符列表的消息可能被认定为有害消息,进而出现有关潜在本地包含漏洞(LFI)的日志消息,以便告知你攻击者可能进行的尝试。这种方法很简单,适用于简单文本日志,此类日志消息无法避免非置信输入的出现。

第二种防御则是将非置信输入部分编码为类似base64的编码,其中保存着数量有限的认可的字符描述,同时还可在文本中存储大量信息。

路径遍历(也称目录遍历)

路径遍历(也称目录遍历)攻击通过读取或写入 web 应用的文件而试图影响后端操作,其方法为注入能控制后端操作所采用文件路径的参数。照此,通过推进信息披露以及本地/远程文件注入,这类攻击可以顺利取得成功。

我们将分别对这类后续攻击进行阐述,但路径遍历是使这些攻击达成的根本漏洞之一。尽管以下功能特定于操纵文件路径这一概念,但值得一提的是,许多PHP函数都不仅仅接受单纯的文件路径。譬如,PHP中的include()file() 等函数能接受URI。这似乎很违反常理,但这使得以下两种采用绝对文件路径(即不依靠相关文件路径的自动加载)的函数调用方法带来相同的效果。

include(‘/var/www/vendor/library/Class.php’); include(‘file:///var/www/vendor/library/Class.php‘);

关键在于,在相关路径处理的同时(php.ini和可用自动加载器的 include_path 设定 ),类似的PHP函数在各种形式的参数操纵下显得尤其脆弱,其中包括文件URI 方案替换——一旦文件路径初始处注入了非置信数据,攻击者便可注入HTTP或 FTP URI。后面我们将在远程文件包含攻击中对这一点进行进一步阐述,现在继续探讨文件系统路径遍历的问题。

路径遍历缺陷的各种情况有一个共同特点,即文件路径因受操纵而指向不同的文件。这一点通常通过向参数注入一系列 ../ (点-点-斜线)序列来实现,上述参数被整个添加或插入到 include()require()file_get_contents()等函数,甚至在有的人看来不那么可疑的函数中,比如DOMDocument::load()

点-点-斜线序列允许攻击者使系统导航或回溯至父目录。因此像/var/www/public/../vendor 这样的路径实际上会指向/var/www/public/vendor/public 后的点-点-斜线序列会回溯到该目录的父目录,也就是/var/www。从该简单示例可以看出,利用这一方法,攻击者便可读取通过网站服务器可访问的/public 目录以外的文件。

当然,路径遍历不仅仅用于回溯。攻击者也可注入新的路径元素,从而访问无法通过浏览器访问的子目录,无法访问的原因可能为子目录或其父目录之一中的.htaccess中的deny from all 指令。PHP的文件系统操作不考虑Apache或其他网站服务商是如何配置并控制非公共文件和目录的入口的。

路径遍历示例

防御路径遍历估计

原文地址:http://phpsecurity.readthedocs.org/en/latest/Injection-Attacks.html#log-injection-also-log-file-injection

Python全栈(五)Web安全攻防之5.sqlmap检索DBMS信息和SQL注入
CUFEECR的博客
03-03 4888
sqlmap检索DBMS信息包括检索DBMS banner、当前数据库、当前主机名和用户信息(当前用户是否是DBA、用户密码、所有用户和权限等)等;sqlmap枚举信息包括列举数据库名、数据库表、数据表列、数据值、schema信息、数据表数量,截取数据信息,设置条件获取信息,暴力破解数据,检索所有信息等;SQL注入原理包括简单介绍、危害、分类、形成原因、过程等;HackBar插件包括在谷歌和火狐的安装;SQL注入包括GET、POST请求和get基于报错的SQL注入
Python全栈(五)Web安全攻防之7.MySQL注入读写文件和HTTP头中的SQL注入
CUFEECR的博客
03-10 4643
pikachu是一个比较详细的漏洞平台;MySQL读取文件用load_file()函数;写入文件用into outfile。UPDATEXML()函数用于捕捉错误;在user-agent后加入payload进行user-agent注入;通过修改请求头中的referer进行SQL注入测试,可以通过3种方式进行安全测试;在请求头的cookie参数中加入payload‘进行cookie测试;使用Base64加密的注入语句,插入到Cookie对应的位置完成SQL注入漏洞的探测。
注入攻击日志分析
11-06
一般的注入攻击的日志分析 SQL注入案例回顾 IIS日志系统概述 IIS日志分析工具及方法
代码安全系列(1) - Log注入
weixin_33868027的博客
12-15 338
简介 我们编写了大量的程序,但程序总是出现莫名其妙的异常,因此我们使用日志模块,详细记录程序执行的步骤,以求追踪和定位问题。也许这是大多数程序员对日志的理解,跟踪和调试程序成了日志的主要职责。其实,日志的作用远非如此,当某天突然发现我们的系统被人非法入侵,删除了大量用户资料时,我们记录的日志成了最好的追踪骇客的工具。假如,我们的日志被骇客无情的篡改,后果将不堪设想。因此,日志模块虽小,安全性却尤...
竖式问题字符串操作
菜鸟变大鸟的博客
02-20 385
字符串数组 竖式问题:找出所有形如abc*de的算式,使得在完整的竖式中,所有数字都属于一个特定的数字集合。输入数字集合(相邻数字之间没有空格),输出所有竖式。每个竖式前有编号,之后应有空行。最后输出解的总数。格式如下图: 分析:这个题的意思就是输入一个数字集合,使竖式中所有的数字都在所输入的数字集合中。不考虑有0的情况。借助sprintf()和strchr()函数,来实现字符串赋值和查找。完...
日志注入的攻击方式与下列哪类攻击最相似_云安全:在 AWS 中使用 IAM 角色打破攻击者的斩杀链...
weixin_39595085的博客
12-17 1456
在过去的一年里,我看到人们对使用云本地技术处理云内安全事件的具体建议的兴趣大幅上升。随着组织将其生产工作负载转移到云中,安全专业人员很快就会意识到,基本原理虽然在概念上相似,但在实践中却大相径庭。其中一个核心概念就是斩杀链,这个术语最早由洛克希德 · 马丁发明,用来描述攻击者的攻击过程。破坏任何某个链都会破坏攻击,因此这很好地映射到了将深度防御与事件响应的活动组件结合起来。在云部署中,我...
手动漏洞挖掘-SQL注入小谈
含笑
04-25 7823
所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。 服务器端程序将用户输入参数做为查询条件,直接拼接SQL语句,并将查询结果返回给客户端浏览器。 根据相关技术原理,SQL注入可以分为平台层注入和代码层注入。前者由不安全的数据库配置或数据库平台的漏洞所致;后者主要是由于程序员对输入未进行细致地过滤,从而执行了非法的数
2019-2-17 dvwa学习-环境搭建和sql字符型注入(级别low)
weixin_42555985的博客
02-17 7548
因为要学习sqlmap,所以需要搭一个测试环境。 查了网上http://www.360doc.com/content/13/0614/22/11029609_292922372.shtml,打算搞个dvwa环境。 DVWA全称是Damn Vulnerable Web Application,它是用PHP+Mysql编写的一套用于常规WEB漏洞教学和检测的WEB脆弱性测试程序。包含了SQL注入、XS...
modsecurity设置规则防止SQL注入
技术转管理历程
03-16 5236
防止SQL注入 1)cd /etc/httpd/modsecurity-crs/rules 2)vi REQUEST-SELF-101-HASH.conf 写入 # # -=[ SQL Injection Character Anomaly Usage ]=- # # This is a paranoid sibling to 2.2.x Rule 981173. # The re
java动态日志注入工具anylog.zip
07-18
anylog 是一个可以在代码的任意区域无入侵地加入日志的工具,适用于线上问题排查。 anylog 为开发人员提供一个易于使用的平台,帮助开发人员在正在运行的系统中随时加入自己想要的日志,而免于修改代码和重启。 使用场景举例     1、一些同学在写代码时,把异常吃掉了,使得问题难以查找,可以使用这个工具,动态打印出被吃掉         的异常,而不用停机。     2、一些项目依赖第三方jar包,如果发生问题,但第三方包中无日志打印,以往可能需要重新编译第         三方包,加上日志,重启服务,然后排查问题。但使用这个工具,就可以直接动态加入日志,而不用         修改第三方jar包,也不用重启。 已有功能     1、让系统打印某个exception的堆栈,无论此exception是否已经被吃掉都可打印     2、在某个指定类的某个方法的某一行,输出日志。     3、在某个指定类的某个方法的开始,输出日志。     4、在某个指定类的某个方法的结束,输出日志。       5、打印方法耗时,支持方法嵌套。     如果需要扩展新的功能(例如输出jvm的cpu占用,内存大小等),只需要实现spi中的     com.github.jobop.anylog.spi.TransformDescriptor      和com.github.jobop.anylog.spi.TransformHandler接口,     然后把实现的jar包放到providers目录中即可识别。 使用方法     1、获取运行程序:         1)可以到以下地址获取正式发行版:https://github.com/jobop/release/tree/master/anylog         2)你也可以clone下源码后,执行如下命令,生成运行程序,生成的运行程序将在dist目录下             生成windows版本:  mvn install             生成linux版本:  mvn install -Plinux     2、直接执行startup.bat或者startup.sh即可运行起来     3、访问 http://127.0.0.1:52808 即可使用 功能扩展     anylog利用spi机制实现其扩展,如果你想要对anylog增加新的功能(例如添加返回值打印的功能)可以按照如下步骤操作:     1、使用如下命令,生成一个spi实现工程,并导入eclipse     mvn archetype:generate -DarchetypeGroupId=com.github.jobop -DarchetypeArtifactId=anylogspi-archetype -DarchetypeVersion=1.0.4     2、参照该工程中已有的两个例子(一个是在方法开始插入日志,一个是在方法结束插入日志),实现TransformDescriptor和TransformHandler接口     3、把两个接口实现类的全路径,分别加到以下两个文件中         src/main/resources/META-INF/services/com.github.jobop.anylog.spi.TransformDescriptor         src/main/resources/META-INF/services/com.github.jobop.anylog.spi.TransformHandler     4、执行mvn install打包,在dist下会生成你的扩展实现jar。     5、把扩展实现jar拷贝到anylog的providers目录下,重启即可生效。     tips:在实现spi时,我们提供了SpiDesc注解,该注解作用在你实现的TransformDescriptor上,可以用来生成功能描述文字。          如果要深入了解spi机制,请自行google:java spi 标签:anylog
日志注入风险与解决-Log injection (LOG_INJECTION)
oscar999的专栏
06-29 643
例如,如果将用户提供的恶意字符作为日志输出内容时,就可能会导致日志文件中出现不安全的语句,从而攻击系统。总之,在使用日志记录器(Logger)时,应该避免将用户提供的数据直接作为日志输出内容,可以使用占位符的方式来代替用户提供的数据,以避免黑客攻击。为了避免这个警告,应该避免将用户提供的数据直接作为日志输出内容,可以使用占位符(placeholder)的方式来代替用户提供的数据,以避免黑客攻击。在这个修改后的示例代码中,使用占位符的方式,将用户提供的数据作为参数传递给日志记录器的方法,从而避免了黑客攻击。
DNS_LOG注入
学习、分享、交流
05-19 1734
DNSLOG注入:利用DNS解析,日志记录把数据库里面的内容给带出来···
注入攻击学习笔记
weixin_33721344的博客
12-23 215
安全设计原则:数据与代码分离。 注入攻击的本质:把用户的输入数据当作代码来执行。 关键条件: 用户能够控制输入。 程序要执行的代码拼接了用户输入的数据。 1 SQL 注入 1.1 概述 因为 98 年黑客杂志的一篇文章, SQL 注入第一次为人熟知。 var sql="select * from area where city ='" + city +"'"; 复制代码正常场景(传入 Sha...
应用安全系列之三十七:日志注入
jimmyleeee的专栏
07-05 5523
用户输入的参数未做任何验证直接写入日志文件,导致攻击者可以通过特殊字符(\r \n)在日志中注入新的日志条目,破坏系统日志的完整性。例如:test failed to log in. 如果test是可以控制的,就可以通过输入(admin login successfully.\r\n test)将日志修改为:admin login successfully.\r\n Info:test failed to log in. 就注入了一条日志。 一旦 日志的完整性没法保障,那么,会影响它作为证据的有效性。日志
日志注入
weixin_34037173的博客
04-03 6555
日志注入一般不会引起服务功能性的损害,而主要是作为一种辅助攻击手段。 1. New Line Injection 插入新行的注入方式,这种方式是最普遍的log注入方法。例如:张三不怀好意,在用户名一栏里输入如下的字符张三\n delete all files 2. Sparator Injection 有些人写日志喜欢用一些分隔符来分隔不同的字段,比如用分隔符:|,或者使用TAB作为分隔...
DNS-log注入(zkaq靶场)
v2ish1yan的博客
04-21 1412
DNS-log注入
注入攻击
Darkray1的博客
04-24 1188
注入的本质:是把用户输入的数据当作代码执行。前提条件一:用户能够控制输入。二:原本程序要执行的代码,拼接了用户输入的数据。SQL注入:        利用现有应用程序,将(恶意)的SQL命令注入到后台数据库执行一些恶意的操作。造成SQL注入的原因:        因为程序没有有效过滤用户的输入,使攻击者成功的向服务器提交恶意的SQL查询代码,程序在接收后错误的将攻击者的输入作为查询语句的一部分执行...
DNS_log注入
Y22Lee的博客
03-28 268
a.概述DNS(Domain Name System,域名系统),因特网上作为域名和IP地址互相映射的一个分布式数据库,能够使用户更方便的访问互联网,而不用去记住能够被机器直接读取的IP数串。通过主机名,最终得到该主机对应的IP地址的过程叫做域名解析(或主机名解析)。DNS协议运行在UDP协议之上,使用端口号53。
Injection Attacks是什么意思
最新发布
06-17
### Injection Attacks 的定义和相关概念 Injection Attacks注入攻击)是一种常见的网络安全威胁,攻击者通过将恶意代码或数据注入到系统中,利用系统的漏洞来执行非预期的操作。这类攻击的核心在于利用输入验证不足或处理不当的系统,使得恶意代码能够在目标环境中被执行。 #### 定义 注入攻击通常发生在应用程序未能正确过滤用户输入的情况下。攻击者可以通过向系统输入恶意代码或命令,使系统将其误解为合法输入并执行。这种攻击可能导致数据泄露、系统控制权丢失或服务中断等问题[^1]。 #### 常见类型 以下是几种常见的注入攻击类型: 1. **SQL Injection (SQL注入)** SQL 注入是最常见的注入攻击之一,攻击者通过在输入字段中插入恶意 SQL 语句,篡改数据库查询逻辑,从而获取敏感信息、修改数据或删除数据[^2]。 2. **Cross-site Scripting (XSS) Attacks (跨站脚本攻击)** XSS 攻击涉及将恶意脚本注入到网页中,当其他用户访问该页面时,脚本会在他们的浏览器中执行。这种攻击常用于窃取用户会话信息或执行未经授权的操作[^2]。 3. **Command Injection (命令注入)** 命令注入攻击利用应用程序未正确过滤用户输入的情况,将恶意命令注入到操作系统命令中。攻击者可以借此执行任意系统命令,可能危及整个服务器的安全性。 4. **Prompt Injection Attacks** Prompt Injection 是一种针对大型语言模型(LLMs)的新型攻击方式。研究者发现,通过设计特定的触发器(如“前缀+后缀”格式的字符串),可以迫使 LLM 忽略原始任务并执行注入的恶意指令[^5]。 5. **Data Poisoning Attacks (数据投毒攻击)** 数据投毒攻击是指攻击者通过污染训练数据集,在模型中植入后门或影响其预测输出。例如,在 NLP 领域中,攻击者可以通过在训练数据中添加特定模式的样本,使模型在遇到这些模式时产生错误预测[^3]。 #### 示例代码:SQL Injection 以下是一个简单的 SQL 注入示例,展示了攻击者如何通过构造恶意输入绕过身份验证: ```python # 用户输入的恶意 SQL user_input = "' OR '1'='1" query = f"SELECT * FROM users WHERE username = '{user_input}' AND password = 'password'" print(query) ``` 上述代码生成的查询语句将始终返回 `True`,导致攻击者无需密码即可登录系统[^2]。 #### 防护措施 为了防止注入攻击,开发者应采取以下措施: - 对所有用户输入进行严格的验证和清理。 - 使用参数化查询或预编译语句以避免直接拼接用户输入。 - 实施最小权限原则,限制应用程序对数据库或其他资源的访问权限[^4]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值