理解injection注入攻击

-- TOC --

目前我知道两种injection注入攻击,分别是SQL注入和Shell注入。

其实injection注入攻击的基本原理都一样:注入的是用户的恶意输入,由于程序设计的原因,用户的恶意输入被执行,攻击达成!

SQL注入发生在将用户的输入拼接成SQL语句执行的场景下,Shell注入发生在将用户的输入拼接成shell命令字符串并执行的场景下。由于SQL语法和Shell命令行语法都具有高度的灵活性,使得这种攻击常常以意想不到的方式出现。

避免发生injectino注入攻击,其实并不难,永远不要相信用户的输入,对一切用户输入进行彻底完整的检查,尽可能考虑一些场景,尽可能往坏处去想!

有一些编程框架,会为了规避注入攻击,增加一些接口上的限制。

本文链接:https://cs.pynote.net/se/202112083/

-- EOF --

-- MORE --