盘点一般企业常遇到的四种网络注入攻击。

网络注入（Web Injection）是网络犯罪工具包内常见的工具，更是每位开发者、信息安全（InfoSec）专家都头疼的问题。特别是跨站脚本、命令注入、SQL注入和XML注入，都是企业网站和网页应用程序经常遭遇的攻击类型。由于这些攻击可以透过多种方式执行，所以也增加了防御的难度。

亚信安全详解：四种常见的网络注入攻击

这四种常见的网络注入攻击究竟有何不同？下面小编就详细给大家科普下。

SQL注入（SQL Injection，SQLi）

SQL注入可以用来入侵使用数据库的软件，被开放式Web应用程序安全项目（OWASP）视为入侵网站及SQL数据库最常见的技术之一。SQLi将恶意SQL语法插入输入字串（作为指令或查询的一部分），并且利用了软件或网页应用程序的漏洞。例如：没有正确地过滤使用者输入。比方说，攻击者可以将恶意输入变成SQL查询的参数，让数据库认为是SQL指令的一部分而执行。

SQLi攻击成功可以让黑客伪装成目标身份并取得数据库服务器的管理权限。黑客接着可以修改现有数据，取出系统内的数据，破坏、覆盖或删除数据，甚至使其无法联网。对于会用如何入侵网络来威胁企业的漏洞猎人，以及会删除网站内容并将其活动伪装成勒索病毒的不法分子来说，这一直是个首选技术。SQLi还被用来窜改网站以及公开储存在数据库内的个人识别数据、帐密和敏感公司资料。

命令注入（Command Injection）

不同于SQLi攻击针对数据库相关网页应用程序/服务，命令注入让攻击者插入恶意Shell命令到网站主机操作系统。可以找出应用程序安装的目录，并在那里执行恶意脚本。命令注入让黑客可以利用有漏洞的网页应用程序来执行任意命令。例如，当应用程序将表单、HTTP标头和Cookie内的恶意内容带到系统Shell时，此类攻击就会用这些不安全应用程序的权限执行。

简而言之，当恶意输入被误认为操作系统命令时就会发生命令注入，让不法分子可以取得文件或网页服务器的控制。2014年的Shellshock攻击就是一例：它们让攻击者可以修改网页服务器内容、变更网站代码、窃取或外泄数据、变更权限以及安装后门等恶意软件。

XML外部实体注入（XML External Entity Injection，XXE）

这类攻击不像SQLi或跨站脚本那样常出现，但XML外部实体注入（XXE）最近也受到了关注。XML（可延伸标记式语言）支持外部实体，可以用来引用或调用主文件外的数据到XML文件。XXE会攻击网页应用程序解析未知或可疑来源XML输入时的漏洞，将恶意内容注入将使用者或客户资料输入应用程序的文件（如XML文件）。

XXE攻击成功可以让黑客存取内部网络或服务、读取存放在服务器上的系统文件以及扫描内部端口。在某些状况下，XXE可以让攻击者执行远端代码（比方说透过加载恶意可执行PHP代码），这些都取决于解析器的权限。

现在越来越多主要的web程序被发现和报告存在XXE漏洞，比如说Facebook、PayPal等等。

跨站脚本（Cross Site Scripting，XSS）

利用跨站脚本（XSS）漏洞让不法分子可以将恶意脚本注入使用者的浏览器。OWASP的最新数据表示XSS是最大的安全风险，常被用来进行网页窜改（defacement）和自动化网络攻击。联联周边游怎么赚佣金 https://weibo.com/ttarticle/p/show?id=2309404436019339460801

XSS攻击有许多种，取决于代码注入方式及攻击者的动机。XSS攻击会出现在处理使用者输入的网页，如数据库、登入和搜寻表单、评论功能和留言板。错误和搜寻结果页面（将输入作为请求的一部分送给服务器）也可能被用来传送攻击者注入的恶意脚本–Reflected XSS。攻击者还可以修改受害者浏览器内的文件物件模型（Document Object Model，DOM）来执行恶意行为。

亚信安全教你如何防范

不要轻易相信任何人。网页开发者必须假设所有的使用者输入都是恶意的，必须加以验证。白名单（拒绝白名单以外的任何输入）是安全处理输入的方法之一。在开发网站和网页应用程序时，请考虑出现输入问题时要终止执行（例如使用非预期字元），并且要过滤和编码输入来确保都经过检查。有些程序语言具有污点检验（taint-checking）功能，可以检查和防止用来执行恶意命令的输入。输出也必须验证，网页开发者应该用替代字元来编码输出，这样可以防止意外执行。

始于安全设计。网页开发者要在层叠样式表（CSS）属性、HTML属性和XML解析器内严格验证不受信任的数据（同时保留网站/应用程序外观）是防御入侵的必要条件。

保持与时俱进。安全专家必须定期进行更新及安装修补程序，以防止系统及软件的安全漏洞被利用。同时公司内部也需要提供安全教育训练和稽查。

采取纵深防御与多层次防御机制。安全专家应该要及时发现网络内出现的恶意和可疑数据及流量，检查网站或网页应用程序内的联机以及请求和响应（如HTTP、HTTPS、SOAP和XML远端程序呼叫等），比方说，检查可能显示出现的XSS攻击代码。开发人员可以考虑采取纵深防御的安全策略：在网站或网页应用程序内采取多层次防御机制以减少被攻击成功的可能性。

减少暴露自己。开发人员应该停用网站、数据库或网页应用程序不必要的元件，因为会增加受攻击的概率。建议安全专家停用不必要或未使用的端口，以阻止某些应用程序协定相关的网络攻击和恶意使用。开发人员在建立/开发网站和网页应用程序时也同样地必须想到这些。

再三检查。开发人员与安全专家在部署网页应用程序/网站前，要先测试是否有漏洞。对使用数据库的应用程序/服务和网站定期进行渗透测试，有助于找出其他措施没有防御到的安全漏洞。在检查过程中持续监控网站、软件或数据库基础构架，来找出可能被忽略的安全漏洞或风险的相关资讯。