首页 > 编程语言 >Owasp Top10 漏洞解析 之注入

Owasp Top10 漏洞解析 之注入

时间:2023-12-19 15:23:09浏览次数:48  
标签:语句 Top10 Owasp 漏洞 SQL 查询 数据 注入

一、注入漏洞是什么?


注入漏洞,即将不受信任的数据作为命令或查询的一部分发送到解析器时,会产生诸如SQL注入NoSQL注入、OS 注入和LDAP注入的注入缺陷。攻击者的恶意数据可以诱使解析器在没有适当授权的情况下执行非预期命今或访问数据。

几乎任何数据源都能成为注入载体,包括环境变量、所有类型的用户、参数、外部和内部Web服务。当攻击者可以向解释器发送恶意数据时,注入漏洞产生。

注入漏洞十分普遍,尤其是在遗留代码中。注入漏洞通常能在SQL、LDAP、XPath或是NoSQL查询语句、OS命令、XML解析器、SMTP包头、表达式语句及ORM查询语句中找到。注入漏洞很容易通过代码审查发现。扫描器和模糊测试工具可以帮助攻击者找到这些漏洞。

注入能导致数据丢失、破坏或泄露给无授权方,缺乏可审计性或是拒绝服务。注入有时甚至能导致主机被完全接管。您的应用和数据需要受到保护,以避免对业务造成影响。

 

二、漏洞分类


1、SQL注入

按照注入点类型分类
数字型、字符型、搜索型、GET 注入、POST注入、Cookie 注入、HTTP 头部注入

按照执行效果来分类
基于布尔的盲注、基于时间的盲注、基于报错注入、联合查询注入、堆查询注入、宽字节注入

2、NoSQL注入:

OS 注入、LDAP注入、HTML注入、Xpath注入、shell注入表达式注入。

 

三、漏洞产生的原因(威胁来源)

  • 用户提供的数据没有经过应用程序的验证、过滤或净化。
  • 动态查询语句或非参数化的调用,在没有上下文感知转义的情况下被用于解释器。
  • 在ORM (对象关系映射,Object Relational Mapping,简称ORM)搜索参数中使用了恶意数据,这样搜索就获得包含敏感或未授权的数据。
  • 恶意数据被直接使用或连接,导致SQL语句或命令在动态查询或存储过程中同时包含结数据构和恶意数据。


四、漏洞产生的影响

  • 数据丢失、损坏或篡改
  • 拖库(信息泄露)
  • 夺权,执行OS命令或恶意代码


五、如何防御?

  • 代码审计,代码审计是最有效的检测应用程序的注入风险的办法之一;
  • 不要使用动态语句,或者参数化语句;不要使用拼接SQL语句;
  • 使用安全的APl;使用存储过程来执行所有的查询;
  • 使用“最小权限”限制数据库用户的权限,不要使用管理员权限进行数据库连接;
  • 使用“黑/白名单”或正则表达式,对用户输入的信息执行严格的输入检查;
  • 不要显示详细的错误信息(信息泄露) ;
  • 在查询中使用LIMIT和其他SQL控件,以防止在SQL注入时大量地泄露记录;
  • 将用户的登录名、密码等数据加密保存。

源代码审计 点此链接 可免费领取。另外,其中还包含第三方组件安全分析检测,对软件源代码安全漏洞和软件中的开源组件漏洞进行全面评估,全方位提升应用安全性。

免费检测链接:源代码+组件检测

标签:语句,Top10,Owasp,漏洞,SQL,查询,数据,注入
From: https://www.cnblogs.com/wanyunsecurity/p/17913818.html

相关文章

  • struts2相关漏洞
    过去爆出的历史漏洞可以使用一些集成工具才探测,这里复现一些工具未集成的漏洞struts2代码执行(CVE-2020-17530)(S2-061)启动环境 使用另一个exp来执行https://github.com/YanMu2020/s2-062E:\pythons2-062.py--urlhttp://x.x.x.x:x/.action--cmdid命令回显uid=0(ro......
  • 符号执行manticore工具演练之发现缓冲区溢出漏洞
    符号执行之manticore工具演练参考资料:SANSSEC554https://docs.soliditylang.org/en/v0.8.0/ziion虚拟机:区块链智能合约中的kali(ziion涵盖演练中所以提及到的工具)动静态之分IDA是静态分析工具,常用于检测脆弱性;manticore是动态分析工具,常用于编写漏洞利用(符号执行:即执......
  • 安全漏洞修复记录
    1. 敏感信息泄露1.1. 6443/10251/10252敏感信息泄露上图中提示6443、10251、10252三个端口分别对应了K8S的kubelet API、kube-scheduler、kube-controller三个服务的通讯端口。访问URL显示这三个端口的指标、版本页面会显示敏感信息。所以我们需要做的是禁止三个端口外......
  • 漏洞修复总结
    https://www.cnblogs.com/mrwh/archive/2019/09/21/11552720.html1.代码注入1.1命令注入命令注入是指应用程序执行命令的字符串或字符串的一部分来源于不可信赖的数据源,程序没有对这些不可信赖的数据进行验证、过滤,导致程序执行恶意命令的一种攻击方式。问题代码:$dir=$_......
  • 发现隐藏的 Web 应用程序漏洞
    随着Web2.0的扩展,近年来社交媒体平台、电子商务网站和电子邮件客户端充斥着互联网空间,Web应用程序已变得无处不在。国际知名网络安全专家、东方联盟创始人郭盛华透露:‘应用程序消耗和存储更加敏感和全面的数据,它们成为对攻击者更具吸引力的目标。“常见攻击方式该领域存......
  • 猫眼电影TOP100
    一、猫眼电影排行TOP100抓取(小案例)​ 声明:个人源码仅供自己学习记录,他人使用学习中切勿用于非法用途,请自觉遵守国家法律。造成的损失一概与本人无关。​ 本文记录了自己学习途中的代码,主要通过正则提取解析网页内容然后存储到本地。猫眼电影拥有反爬机制,使用爬虫加上延时一样会......
  • owasp-top10 2023 详解
    经典的TOP10漏洞 A1注入漏洞在2013、2017的版本中都是第一名,可见此漏洞的引入是多么的容易,同时也证明此漏洞的危害有多么严重。攻击方式利用应用程序弱点,通过恶意字符将恶意代码写入数据库,获取敏感数据或进一步在服务器执行命令。漏洞原因未审计的数据输入框使用网址直接传......
  • 记录ArcGIS Server Manager服务的网站配置文件泄露漏洞
    描述此漏洞在ArcGISServer10.2forWindows上被发现,在启用了ArcGISServerManager服务时,通过GET请求[主机+端口]/arcgis/manager/3370/js/../WEB-INT/web.xml地址,任意用户可获取ArcGIS的manager应用服务配置。风险等级:低(被泄露的文件对所有此产品用户可见,不包含机密信息)分......
  • Aapche Dubbo Java反序列化漏洞(CVE-2019-17564)
    AapcheDubboJava反序列化漏洞(CVE-2019-17564)漏洞描述ApacheDubbo是一款高性能、轻量级的开源JavaRPC服务框架。Dubbo可以使用不同协议通信,当使用http协议时,ApacheDubbo直接使用了Spring框架的org.springframework.remoting.httpinvoker.HttpInvokerServiceExporter类做远程......
  • 解决:Swagger API 未授权访问漏洞问题
    Swagger是一个用于设计、构建、文档化和使用RESTful风格的Web服务的开源软件框架。它通过提供一个交互式文档页面,让开发者可以更方便地查看和测试API接口。然而,在一些情况下,未经授权的访问可能会导致安全漏洞。本文将介绍如何解决SwaggerAPI未授权访问漏洞问题。未授权访......