Injection 注入
这个可以说是 OWASP 里面的常青树了.
什么是注入呢?
站在程序的角度来说,输入了一段恶意的语句,并且没有进行语句判断或者说是过滤,返回出我们并不想显示的东西.
我们就可以理解为,这是个恶意漏洞
这个注入漏洞中值得我们注意的有
- SQL 注入
- XSS 注入
- XEE 注入
- 命令注入
- …
SQL 注入
入门了解可以看我写的 SQL 注入入门理解
入门看明白了就可以再去看看 SQL 中阶
知道了 SQL 注入的大致流程了,就可以去看我写的整个 SQL 注入 文档归档
XSS 注入
就是在一个 HTML 界面中插入个HTML标签或者插入个属性值呗
很好理解的.
比方说script脚本标签
<script>alert("邹总真俊")</script>
我打开个界面就会蹦出来个
邹总真俊的文本框
详细的你可以看我的闯关记录,这里面从易到难.
实际上 XSS 也可以偷偷盗取你的 Cookie 信息
比方说反射型 XSS 和存储型 XSS
还有 DOM 型 XSS,但不会偷取 Cookie
这个与上面两个最大的区别是没有经过服务器
其他的注入
比方说 XEE 注入,命令注入
其主要原因还是还是没有对内容进行校验,如果感兴趣,就点个赞.
够10个我就继续写.
怎么防范?
SQL 注入
- 过滤内容,校验字符串
- 参数化查询
- 避免使用动态 SQL
- 不要将敏感数据放入纯文本中
- 限制数据库权限和特权
- 避免直接向用户显示错误
XSS 注入
- 内容过滤
- 重编码操作(转义)
- 富文本配置白名单
- 设置 HTTPOnly ,避免 Cookie 外泄
其他的注入
看什么?赶紧点个赞吧~\(≧▽≦)/~
尾声
我相信在以后很长的时间里,注入会一直在榜上.
同样网络安全的攻防游戏也永远不会停止.