OWASP Top10 的基础了解

OWASP Top10

A1 注入漏洞

在 2013、2017 的版本中都是第一名，可见此漏洞的引入是多么的容易，同时也证明此漏洞的危害有多么严重。
攻击方式
利用应用程序弱点，通过恶意字符将恶意代码写入数据库，获取敏感数据或进一步在服务器执行命令。
漏洞原因
未审计的数据输入框
使用网址直接传递变量
未过滤的特殊字符
SQL 错误回显
漏洞影响
获取敏感数据或进一步在服务器执行命令接管服务器
SQL 注入
其实注入有很多类型，常见的注入包括：SQL、OS 命令、ORM、LDAP和表达式语言或者 OGNL 注入，对于应用解释器来说这些概念都是相同的。对于最常见的SQL注入，后端开发人员经常会拼接 SQL 查询；在不经意间就引入了 SQL 注入漏洞。
SQL 注入工具
作为最强大的 SQL 注入工具，这里要介绍下基于 python开发的 SQLmap，SQLmap 支持对 PostgreSql，MySQL，Access，MsSql Server 等数据库的自动化注入。是在检查SQL注入漏洞方面最得力的工具。
SQL 注入防护
关闭 SQL 错误回显
前端输入字符白名