常见的Web安全错误#1:webs ql注入漏洞

发布时间: 2020-11-4 22:47 作者 : kr 本文共651个字,预计阅读时间需要2分钟 共720人阅读

标题:常见的Web安全错误#1:webs ql注入漏洞来源于:文章底部显示

常见的Web安全错误#1:注入漏洞

注入缺陷是由于经典的无法过滤不受信任的输入而导致的。当你通过滤波的数据到SQL服务器(SQL注入),浏览器可以发生(XSS -我们再谈谈后),到LDAP服务器(LDAP注入),或其他任何地方。这里的问题是,攻击者可以向这些实体注入命令,从而导致数据丢失并劫持客户端的浏览器。

您的应用程序从不受信任的来源收到的所有内容都必须经过过滤,最好根据白名单进行过滤。您几乎不应该使用黑名单,因为正确设置黑名单非常困难,而且通常很容易绕开。防病毒软件产品通常提供失败的黑名单的典型例子。模式匹配不起作用。

预防: 好消息是,防止注入只是“简单地”过滤正确输入并考虑输入是否值得信任的问题。但是,坏消息是,除非可以毫无疑问地信任所有输入,否则必须对所有输入进行适当的过滤(但在这里想到了“永不言败”的说法)。

例如,在具有1,000个输入的系统中,仅对999个输入进行成功过滤是不够的,因为这仍然留下一个字段,可以用作解决系统崩溃的致命弱点。您可能会认为将SQL查询结果放入另一个查询中是个好主意,因为数据库是可信任的,但是如果周边不可靠,则输入间接来自有恶意的人。如果您有兴趣,这称为二阶SQL注入。

由于过滤是很难正确完成的(就像加密一样),因此我通常建议您依靠框架的过滤功能:事实证明它们可以正常工作,并且经过仔细检查。如果你不使用框架,你真的需要好好想想是否不使用他们真的有道理在您的服务器的安全上下文。99%的时间没有。

 

如果没有坎过我的第一篇的文章的:

10个最常见的Web安全漏洞



本站本着相互幫助,合作共贏嘅精神,幫助大家,如果有侵犯版權或違反法律嘅行為請聯系負責人進行刪除和嚴懲本站用戶
» 常见的Web安全错误#1:webs ql注入漏洞

常见问题FAQ

源码存在后门嘛?
每个源码提供者都是认真核查后发布出来的,如果有后门,官方会严惩作者!
技术都是免费的吗?
大多资源和技术学习都是免费得,部分比较高级的学习资料发布者收费也是可以的!
使用的软件可靠嘛?
软件都是进行挑选出来的,保障每个都能正常的使用。
找人任务修改会有危险吗?
请建议不要私下交易,任何都以平台为主,如果技术方愚弄你,都会受到严惩!

标题:常见的Web安全错误#1:webs ql注入漏洞

发表评论

热图

标题:常见Web安全错误7:缺少功能级别的访问控制

立即加入 了解詳情
sitemap: Baiduxml Baiduhtxt 360xml 360txt Sogouxml Sogoutxt Smxml Smtxt Byxml Byhtxt Googlexml Googletxt
底部
rss
×