简析web注入攻击

最新推荐文章于 2024-05-29 08:15:00 发布
最新推荐文章于 2024-05-29 08:15:00 发布
阅读量1.4k 收藏 2
点赞数
分类专栏: 学习笔记 文章标签: web注入 注入攻击
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhaohong_bo/article/details/90406560
版权

注入攻击是众多攻击之一,在注入攻击中,攻击者给程序提供恶意的输入,解析引擎把恶意输入作为命令或者查询的一部分,顺带着改变了程序执行的流程。

注入是web程序最古老的和最危险的攻击之一,它们能导致数据被偷,数据丢失,数据完整性丢失,dos ,甚至系统沦丧。主要产生原因是对用户输入验证不足。

这种攻击方式是web安全的主要问题之一,在OWASP Top 10 web安全风险列表中排行第一。注入攻击,尤其是SQL注入(SQLi攻击) 和跨站(xss),它们不仅危险并且普遍,特别是遗留在程序里面。

攻击面比较大的(特别是xss和Sql注入漏洞)注入漏洞尤其可怕。此外,注入攻击是漏洞中非常好理解的一种,这就意味着有许多免费提供和可靠的工具容许甚至一些没有经验的攻击者自动化的乱用这些漏洞。

SQL注入(SQLi)和跨站(xss)是许多常用注入攻击之一,下面列出常用攻击类型

第一种 代码注入

攻击者通过网站类型注入相应的代码,这个代码以当前网站用户的权限执行系统命令,在高级事件中,攻击者可能溢出来提权导致真个 web服务器的沦丧.

第二种 CRLF注入

攻击者注入一个特殊的CRLF字符,这个字符被用来区分http回复头和正文,导致可以写任意正文内容,这种攻击一般和xss结合使用。

第三种 XSS

攻击者注入任意脚本(一般是javascript)到合法网站或者web程序中,这个脚本执行在客户端

第四种 Email头注入

最低0.47元/天 解锁文章
zhaohong_bo
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
1-Web安全——命令执行注入攻击
网络安全
09-06 7209
1. 系统命令执行 通常在程序开发过程中,应用程序需要调用一些外部程序时会用到一些系统命令相关函数。 例如在linux系统中,shell解释器就是用户和系统进行交互的一个接口,对用户的输入进行解析并在系统中执行。而shell脚本语言就是linux系统由各种shell命令组成的程序,具有其他普通编程的很多特点。 2. Web命令执行 常用的ASP,PHP,JSP等web脚本解释语言支持动态执行在运行时生成的代码这种特点,可以帮助开发者根据各种数据和条件动态修改程序代码,这对于开发人员来说是有利的.
WEB三大攻击之—SQL注入攻击与防护
freeking101的博客
01-28 1614
  From:https://www.daguanren.cc/post/sql-injection.html     SQL注入的定义与诱因 定义 SQL攻击(英语:SQL injection),简称注入攻击,是发生于应用程序之数据库层的安全漏洞。简而言之,是在输入的字符串之中注入SQL指令,在设计不良的程序当中忽略了检查,那么这些注入进去的指令就会被数据库服务器误认为是正常的SQL...
命令注入攻击及其防范措施
最新发布
常备不懈
05-29 403
命令注入攻击是一种通过有漏洞的应用程序在主机操作系统上执行任意命令的攻击。 当应用程序将不安全的用户输入数据(如表单、cookie、HTTP 标头等)传递给系统命令执行时,可能会发生命令注入攻击
3.7 命令注入攻击
m0_56534254的博客
10-12 1337
概念:当Web应用程序解析XML输入时,如果没有禁止外部实体的使用,导致服务器可加载恶意外部文件和代码,就会产生外部实体注入漏洞,被攻击者利用发起网络攻击。根据实体种类的不同,XML解析器将使用实体的替代文本或者外部文档的内容来替代实体引用,由此引入了内部实体和外部实体的概念。的方式引用了通用实体,将这段xml提交服务器后,服务器就会执行系统命令id,并返回当前用户的身份标识信息。外部实体 调用外部文件所申明的实体,若实体有任何的修改,则直接在该文档中更新,无需修改引用处的脚本,使用方便。
web安全之报错注入汇总
xlsj雪松的博客
01-16 295
1 报错注入 MySQL 报错注入主要分为以下几类: 1. BigInt 等数据类型溢出; 2. Xpath 语法错误; 3. count() + rand() + group_by() 导致重复; 4. 空间数据类型函数错误。 1.1 floor() rand(N) - 返回一个随机浮点数 v,范围是 0<=v<1.0;N 是可选提供的,如果提供了N,则会设定N为一个SEED floor(x) - 返回不大于 x 的最大整数 count(x) - 返回 x 数据集
网站安全之注入攻击
l664938026的博客
01-06 4512
注入攻击主要有两种形式,sql注入攻击和os注入攻击
简析WEB前端开发.pdf
11-17
简析WEB前端开发.pdf
Web3.0概念下的场景生态简析.pdf
04-14
Web3.0概念下的场景生态简析 Web3.0概念是指下一代互联网的发展方向,旨在解决用户与用户之间的信息互动、提升信息的传递效率、实现信息交互过程中的“可信”与“沉浸”。在当下,Web3.0概念受到关注的原因来自于现...
简析xxe的攻击方式
05-09
简析xxe的攻击方式
简析手机发射功率
01-20
引言  随着科技的发展,手机已经在我们生活中得到普及。但是除了参与生产手机的人,很少人对手机的原理进行了解。今天我们就对手机发射功率进行较简单的分析,让我们对手机发射功率有初步的了解。...
web安全专题(1)注入攻击
微生活Pro
07-02 3587
1、非对称加密算法:RSA,DSA/DSS 2、对称加密算法:AES,RC4,3DES 3、HASH算法:MD5,SHA1,SHA256
web安全————注入(初识篇)
longger_lee
12-22 4691
注入攻击        注入攻击web安全领域中最常见的一种攻击方式。注入攻击的本质就是把用户输入的数据当作代码执行,主要的两个关键条件:第一是用户能够控制输入,第二是原本程序要执行的代码拼接了用户输入的数据。在注入中,常见的就是SQL,下面我们来看看SQL注入的一些方法、技巧以及防御。        SQL注入        请看一个典型的SQL注入例子:        var
常见的Web漏洞——命令注入
江左盟的博客
09-29 1万+
目录 命令注入简介 命令注入原理 漏洞利用 漏洞防范 总结 命令注入简介 命令注入漏洞和SQL注入、XSS漏洞很相似,也是由于开发人员考虑不周造成的,在使用web应用程序执行系统命令的时候对用户输入的字符未进行过滤或过滤不严格导致的,常发生在具有执行系统命令的web应用中,如内容管理系统(CMS)等。 命令注入原理 本文以DVWA中的Command Injection为例,查看...
盘点一般企业常遇到的四种网络注入攻击
yihuliunian的博客
12-05 1026
网络注入Web Injection)是网络犯罪工具包内常见的工具,更是每位开发者、信息安全(InfoSec)专家都头疼的问题。特别是跨站脚本、命令注入、SQL注入和XML注入,都是企业网站和网页应用程序经常遭遇的攻击类型。由于这些攻击可以透过多种方式执行,所以也增加了防御的难度。 亚信安全详解:四种常见的网络注入攻击 这四种常见的网络注入攻击究竟有何不同?下面小编就详细给大家科普下。 SQ...
web————针对web攻击技术
longger_lee
11-20 818
在分析针对web攻击前,先要明白http协议本身是不存在安全性问题的,就是说攻击者不会把它当作攻击的对象。而是应用了http协议的服务器或者客户端、以及运行在服务器的web应用资源才是攻击的目标。         针对web应用的攻击,主要分为主动攻击和被动攻击两种攻击模式               主动攻击攻击者访问web应用,直接将攻击代码传入的攻击模式(要求攻击者必须有访问该资源的
安全测试员必知!5大常见的Web安全漏洞及测试方法归纳!
cky8792的博客
09-20 1577
一般来说,版本功能测试完成,对应的用例也实现了自动化,性能、兼容、稳定性测试也完成了以后,我们就需要考虑到系统的安全问题,特别是涉及到交易、支付、用户账户信息的模块,安全漏洞会带来极高的风险。 一、...
web安全测试--sql注入攻击
weixin_30689307的博客
12-19 244
先要自行了解sql的几个概念: 1.or'1'='1' 2.orderby 3.union:联合查询需要表字段相同 sql注入攻击漏洞判断步骤: 1、‘ 2、查看数据库信息 3、绕过过滤/**/ 如:url编码绕过or1=1即%6f%72%20%31%3d%31(%3d为=,%31为1,%6f%72为or) ...
常见网络攻击类型
热门推荐
花开也疯狂
09-14 4万+
SQL注入:         所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令,比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的,这类表单特别容易受到SQL注入攻击.    根据相关技术原理,SQL注入可以分为平台层注入和代码层注入。前者由不安全的数据库配置或数据库平台的漏洞所致;后
C# ToolStripProgressBar 用法简析
08-11
ToolStripProgressBar 是 C# 中的一个控件,用于显示进度条。它通常用于表示某个操作的进度,例如文件下载、任务执行等。 要使用 ...以上是 ToolStripProgressBar 的基本用法简析,希望能对你有所帮助!

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值