일반적인 악용
종료 전후의 컨텍스트
- 다중 문 세미콜론;
- 조건부 실행 && ||
- 파이프 기호 |
SQL 주입
일반적인 취약점 :
where条件:OR 1=1
union -- -:注释后面的语句
예방 : 매개 변수가있는 쿼리를 사용하여 지침에 데이터가 섞이지 않도록 방지
XSS (교차 사이트 스크립팅) 취약성
소개:
一种网站应用程序的安全漏洞攻击,是代码注入的一种;
它允许恶意用户将代码注入到网页上,其他用户在观看网页时就会受到影响;
攻击通常包含了HTML、用户端脚本语言(JavaScript),也可以包括Java、VBScript 、ActiveX、Flash;
攻击成功后可能得到更高的权限、私密网页内容、会话和cookie等
예방 : 입력 및 출력 필터링, 브라우저 보안 메커니즘 사용 등.
탐지 : 자동 검색
CSRF (교차 사이트 요청 위조)
소개:
通过技术手段欺骗用户的浏览器去访问自己曾经认证过的网站用进行操作(如发邮件、发消息、转账、购买商品);
简单的身份验证只能保证请求发自某个用户的浏览器,不能保证是用户本身发出的
공통 : URL, 이미지 요청, 가짜 양식 사용
예방 : 토큰 검증 증가, 리퍼러 확인
https://mp.weixin.qq.com/s/Rf4dag7Z1rFNl4LxbAjyqw