简析web注入攻击

今天药忘吃喽~ 2022-01-29 07:47 291阅读 0赞

注入攻击是众多攻击之一，在注入攻击中，攻击者给程序提供恶意的输入，解析引擎把恶意输入作为命令或者查询的一部分，顺带着改变了程序执行的流程。

注入是web程序最古老的和最危险的攻击之一，它们能导致数据被偷，数据丢失，数据完整性丢失，dos ，甚至系统沦丧。主要产生原因是对用户输入验证不足。

这种攻击方式是web安全的主要问题之一，在OWASP Top 10 web安全风险列表中排行第一。注入攻击，尤其是SQL注入（SQLi攻击) 和跨站（xss），它们不仅危险并且普遍，特别是遗留在程序里面。

攻击面比较大的（特别是xss和Sql注入漏洞）注入漏洞尤其可怕。此外，注入攻击是漏洞中非常好理解的一种，这就意味着有许多免费提供和可靠的工具容许甚至一些没有经验的攻击者自动化的乱用这些漏洞。

SQL注入(SQLi)和跨站（xss）是许多常用注入攻击之一，下面列出常用攻击类型

**第一种** 代码注入

攻击者通过网站类型注入相应的代码，这个代码以当前网站用户的权限执行系统命令，在高级事件中，攻击者可能溢出来提权导致真个 web服务器的沦丧.

**第二种** CRLF注入

攻击者注入一个特殊的CRLF字符，这个字符被用来区分http回复头和正文，导致可以写任意正文内容，这种攻击一般和xss结合使用。

**第三种** XSS

攻击者注入任意脚本（一般是javascript）到合法网站或者web程序中，这个脚本执行在客户端

**第四种** Email头注入

这种攻击和CRLF攻击很相似，攻击者发送恶意的IMAP/SMTP 命令

**第五种** Host头注入

攻击者乱用HTTP Host头的绝对信任来篡改密码重设功能和web缓存

**第六种** LDAP 注入

攻击者注入LDAP语句来执行任意 LDAP命令，获得修改LDAP树的内容的权利

**第七种** OS命令注入

攻击者用当前web应用程序的权限来注入系统命令，在高级案例中，攻击者通过溢出获得权限提升导致系统沦丧

**第八种** SQL 注入

攻击者注入sql语句来读取和修改数据 库数据，在高级sql注入案例中，攻击者能执行sql语句写服务器上的任意文件和甚至执行系统命令，这会导致系统沦丧

**第九种** XPath 注入

攻击者注入数据到应用程序中来执行精心准备的XPath查询，以此来获得无授权访问和bypass授权

发表评论取消回复

表情：

评论列表（有 0 条评论，291人围观）

还没有评论，来说两句吧...

相关阅读

相关防注入攻击

1、可以注入攻击的登录 package pers.jdbc.log; import java.sql.Connection; import

向右看齐/ 2023年08月17日 16:09/ 0 赞/ 127 阅读

相关 java web 防止sql注入攻击_JavaWeb防注入知识点（一）

一、防sql注入办法在apache commons-lang(2.3以上版本)中为我们提供了一个方便做转义的工具类，主要是为了防止sql注入，xss注入攻击的功能。总共提供

柔情只为你懂/ 2022年11月03日 04:08/ 0 赞/ 443 阅读

相关 web安全学习-sql注入-针对mysql的攻击

文章目录 1. 前言补充：读取客户端本地文件到服务端mysql数据库补充：利用全局日志写shell 补充：修改mysql的root密码

墨蓝/ 2022年10月31日 00:53/ 0 赞/ 481 阅读

相关 Web攻击手段之XSS攻击,CRSF, SQL注入攻击

Web攻击手段之XSS攻击,CRSF, SQL注入攻击 1. XSS攻击 XSS攻击的全称是跨站脚本攻击，指的是攻击者在网页中嵌入恶意

朴灿烈づ我的快乐病毒、/ 2022年08月23日 00:59/ 0 赞/ 12 阅读

相关【Web技术攻击】OS（Operating System）命令注入攻击

OS命令注入攻击是指通过Web应用，执行非法的操作系统命令达到攻击的目的 OS注入攻击案例：以表单的发送功能为例，该功能可将用户的邮件按已填写的对方邮箱地址放过去。

今天药忘吃喽~/ 2022年05月25日 02:43/ 0 赞/ 169 阅读

相关【Web的攻击技术】SQL注入

相关概念 SQL是用来操作关系型数据库管理系统（RDBMS）的数据库语言 SQL注入是指针对web应用使用的数据库，通过运行非法的SQL语句产生的攻击 S

╰+攻爆jí腚メ/ 2022年05月25日 02:40/ 0 赞/ 236 阅读

相关 Web安全问题：DDOS 攻击、SQL 注入

DDOS 攻击分布式拒绝服务(DDoS:Distributed Denial of Service)攻击指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一

怼烎@/ 2022年01月31日 00:55/ 0 赞/ 394 阅读

相关简析web注入攻击

注入攻击是众多攻击之一，在注入攻击中，攻击者给程序提供恶意的输入，解析引擎把恶意输入作为命令或者查询的一部分，顺带着改变了程序执行的流程。注入是web程序最古老的和最危险的

今天药忘吃喽~/ 2022年01月29日 07:47/ 0 赞/ 292 阅读

相关 Golang web之httprouter简析

[上一篇][Link 1]简单介绍了http标准库的实现，并且着重介绍了`Handler`接口，`Handler`主要有两个功能：其一实现路由注册其二请求路由

谁借莪１个温暖的怀抱￠/ 2022年01月20日 10:49/ 0 赞/ 292 阅读

相关网络基础 - Web socket原理简析（转）

[网络基础 - Web socket原理简析（转）][- Web socket] 一、websocket与http WebSocket是HTML5出的东西（协议），也就

淩亂°似流年/ 2021年12月19日 16:03/ 0 赞/ 358 阅读