OWASP TOP10 - 注入

最新推荐文章于 2024-05-22 10:04:01 发布
最新推荐文章于 2024-05-22 10:04:01 发布
阅读量549 收藏
点赞数
分类专栏: OWASP TOP10 文章标签: 信息安全 黑盒测试 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44101248/article/details/107522452
版权

注入

        注入漏洞说明:应用程序将用户可控制的输入解析为实际命令或参数。注入攻击取决所使用的技术及这些技术对输入的解析。常见的实例包括:

  • SQL注入:将用户控制的输入传递给SQL查询时。攻击者可以传入SQL查询来操作此类查询的结果。当输入的恶意SQL语句传递到数据库查询中时。可以查询,修改,删除数据库中的信息。
  • 命令注入:当用户输入传递给系统命令时。攻击者能够在应用程序服务器上执行任意系统命令。在服务器上执行任意系统命令,使攻击者可以访问用户系统,执行任意操作。

        SQL注入内容太多,我有空整理后另起篇幅介绍。先介绍命令注入。

        操作系统命令注入:

            当Web应用程序在服务端的代码(例如PHP)在主机上进行系统调用使,就会发生命令注入。攻击者可以利用该漏洞发出的系统调用在服务器上执行操作系统命令。命令注入的问题使它为攻击者提供了许多选择。比如生成一个反向Shell。一个简单的nc -e /bin/bash就能完成。当然有些些netcat使不支持-e选项的。但是还有更多反向Shell的方法!参考链接: https://blog.csdn.net/qq_44101248/article/details/107520835

        PHP执行系统外部命令函数:exec(),passthur(),system(),shell_exe(),等。

        有些命令执行没有返回结果,或只有一行。请自行查询PHP手册

        示例代码:

<?php
if(isset($_GET["commandString"])) {                   //isset判断是否有传入GET提交参数
    $command_string = $_GET["commandString"];    
    try{
        passthur($command_string);                    //passthur执行传入参数
    }catch(Error $error){
        echo "<p class=mt-3><b>$error</b></p>";
    }
}
?>

命令执行实例

z4yn:)
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
OWASP TOP 10
weixin_59616219的博客
12-20 4788
OWASP TOP 10
WEB十大安全漏洞OWASP Top 10)与渗透测试记录
qq_33163046的博客
04-27 8065
WEB安全的主要类型每年都要较小的变化。熟练掌握最常见的WEB漏洞类型是渗透工作的展开的重要基础。
2023_OWASP TOP10_漏洞详情
最新发布
cc123489ll的博客
05-22 674
3 、跨站脚本攻击( X S S ) 3、跨站脚本攻击(XSS) 3、跨站脚本攻击(XSS)
OWASP TOP 10 及防御
qq_21193587的博客
05-31 5333
什么是 OWASP TOP 10 OWASP(开放式Web应用程序安全项目)是一个开放的社区,由非营利组织 OWASP基金会支持的项目。对所有致力于改进应用程序安全的人士开放,旨在提高对应用程序安全性的认识。 其最具权威的就是“10项最严重的Web 应用程序安全风险列表” ,总结并更新Web应用程序中最可能、最常见、最危险的十大漏洞,是开发、测试、服务、咨询人员应知应会的知识。 最重要的版本 应用程序中最严重的十大风险 A1 注入漏洞 在 2013、2017 的版本中都是第一名,可见此漏洞的引入是多么的
OWASP top 10漏洞详解
mw_myever的博客
10-11 1万+
一、漏洞介绍  Weblogic的WLS Security组件对外提供webservice服务,其中使用了XMLDecoder来解析用户传入的XML数据,在解析的过程中出现反序列化漏洞,导致可执行任意命令。 二、漏洞详情 Oracle Fusion Middleware中的Oracle WebLogic Server组件的WLS Security子组件存在安全漏洞。 使用精心构造的xml数据可能造成任意代码执行,攻击者只需要发送精心构造的 HTTP 请求,就可以拿到目标服务器的权限。 攻击者可利用该漏洞
OWASP Top 10 2022介绍
大河之犬的博客
09-09 1万+
每年 OWASP(开放 Web 应用程序安全项目)都会发布十大安全漏洞。它代表了对 Web 应用程序最关键的安全风险的广泛共识。
OWASP-TOP10-2021 最新中文版V1.0.pdf
12-26
OWASP-TOP10-2021 中文版V1.0.pdf 本资源为 OWASP-TOP10-2021 中文版V1.0.pdf,是一个关于 Web 应用程序安全的指南,旨在帮助开发者和安全专家识别和避免常见的安全风险。该资源涵盖了 OWASP-TOP10-2021 的项目介绍...
OWASP-TOP10-2021中文版V1.0发布
01-22
OWASP-TOP10-2021中文版V1.0发布 OWASP Top 10是开源网络应用安全项目,旨在帮助开发者和安全专业人士了解和防止常见的网络应用安全风险。2021年版OWASP Top 10发布,带来了许多变化和改进。本文将对OWASP Top 10的...
OWASP-TOP10-2021中文版V1.0
01-28
3. 注入(Injection) 4. 不安全设计(Insecure Design) 5. 安全配置错误(Security Misconfiguration) 6. 自带缺陷和过时的组件(Vulnerable and Outdated Components) 7. 身份识别和身份验证错误...
owasp top10漏洞讲解
07-22
注入 2. 失效的身份认证和会话管理 3. 跨站攻击 4. 不安全的对象直接引用 5. 伪造跨站请求 6. 安全配置错误 7. 限制URL访问失败 8. 未验证的重定向和转发 9. 应用已知脆弱性的组件 10. 敏感数据暴露
(10项软件开发人员须具备的关键安全开发意识)OWASP_Top_10_Proactive_Controls_V34e2d6587 v1.1.pdf
03-21
很好的应用安全参考文件,详细描述软件开发人员必须具备的关键安全开发意识,特别强调了基于OWASP的TOP的安全领域
OWASPTop10(2021知识总结)
热门推荐
IerkeU的博客
03-23 4万+
OWASP top10 2021年版TOP 10产生三个新类别,且进行了一些整合 考虑到应关注根本原因而不是症状。 A01:失效的访问控制 ​ 从第五位上升称为Web应用程序安全风险最严重的类别,常见的CWE包括:将敏感信息泄露给未经授权的参与者、通过发送的数据泄露敏感信息、跨站请求伪造(csrf) 风险说明: ​ 访问强制实施策略,使用户无法在其预期权限之外操作。失败的访问控制通常导致未经授权的信息泄露,修改或者销毁所有数据,或在用户权限之外执行业务功能。 常见的访问控制脆弱点: 违法最小权限原则
OWASP TOP 10漏洞的原理 和攻击方式以及防御方法
m0_56153073的博客
03-21 4775
XML外部实体漏洞(XML External Entities (XXE)) 原理:应用程序解析XML时,未正确处理外部实体,导致攻击者可以访问系统文件、执行命令等。安全配置错误漏洞(Security Misconfiguration) 原理:应用程序或其环境未正确配置,导致攻击者可以访问敏感信息、执行未经授权的操作等。总之,防范OWASP TOP 10漏洞的最佳方法是采取多层次的安全措施,包括对应用程序进行安全编码、安全测试和安全配置等,以及对环境进行最小化权限、安全配置和安全监控等。
OWASP TOP 10-2021详解
m0_70483044的博客
12-02 2081
OWASP(开放式Web应用程序安全项目)是一个开放的社区,由非营利组织 OWASP基金会支持的项目。对所有致力于改进应用程序安全的人士开放,旨在提高对应用程序安全性的认识。其最具权威的就是“10项最严重的Web 应用程序安全风险列表” ,总结并更新Web应用程序中最可能、最常见、最危险的十大漏洞,是开发、测试、服务、咨询人员应该会的应用知识。2003年该组织首次出版了“Top 10”,也就是10项最严重的Web应用程序安全风险列表。
OWASP TOP 10 – 终极漏洞指南(2021)
琦彦
09-29 3万+
OWASP Top 10 是由开放 Web 应用程序安全项目 (OWASP) 建立的,该项目是一个非营利组织,可免费提供有关 Web 应用程序安全的文章和其他信息。 目录 什么是OWASP? 什么是 OWASP 前 10 名? OWASP 前 10 名名单 1.注入攻击 2. 破解认证 3. 敏感数据暴露 4. XML 外部实体 (XXE) 5. 破坏访问控制 6. 安全配置错误 7. 跨站脚本(XSS) 8. 不安全的反序列化 9.使用已知漏洞的组件 10. 日志记录和监控.
OWASP Top 10十大风险 – 10个最重大的Web应用风险与攻防
weixin_30344795的博客
09-18 2243
先来看几个出现安全问题的例子OWASP TOP10开发为什么要知道OWASP TOP10TOP1-注入TOP1-注入的示例TOP1-注入的防范TOP1-使用ESAPI(https://github.com/ESAPI/esapi-java-legacy)TOP2-失效的身份认证和会话管理TOP2-举例TOP3-跨站TOP3-防范TOP3-复杂的 HTML 代码提交,如何处理?TOP4-不安全的...
OWASP top 10漏洞原理及防御(2017版官方)
wwl012345的博客
08-08 1万+
文章目录一、OWASP top 10简介二、OWASP top 10详解A1:2017-注入 一、OWASP top 10简介 1.OWASP介绍 OWASP:开放式Web应用程序安全项目(Open Web Application Security Project),OWASP是一家国际性组织机构,并且是一个开放的、非盈利组织,它致力于协助政府、企业开发、升级各类应用程序以保证其可信任性。所有O...
【渗透整理】OWASP Top 10
SunnyCat
04-28 8506
补坑 找实习遇到的坑,写在这里给自己加深印象。今天给面试问蒙了,思路都不清楚,不知道自己说了个啥,让我自闭一会。。。 什么是 OWASP Top 10 OWASP(开放式Web应用程序安全项目)的工具、文档、论坛和全球各地分会都是开放的,对所有致力于改进应用程序安全的人士开放,其最具权威的就是“10项最严重的Web 应用程序安全风险列表” ,总结了Web应用程序最可能、最常见、最危险的十大漏洞,是...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值