OWASP top10(OWASP十大应用安全风险)之A1 注入 (Injection)

2023-12-25 18:59

本文主要是介绍OWASP top10(OWASP十大应用安全风险)之A1 注入 (Injection),希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

OWASP TOP10

简介

OWASP(开放式Web应用程序安全项目)的工具、文档、论坛和全球各地分会都是开放的,对所有致力于改进应用程序安全的人士开放,其最具权威的就是“10项最严重的Web 应用程序安全风险列表” ,总结了Web应用程序最可能、最常见、最危险的十大漏洞,是开发、测试、服务、咨询人员应知应会的知识。

top1 注入(Injection)

当攻击者将无效数据发送到Web应用程序以使其执行该应用程序未设计/编程的操作时,就会发生代码注入。
解决此安全漏洞的最常见示例可能是使用不受信任数据的SQL查询。您可以在下面看到OWASP的示例之一:
String query = “SELECT * FROM accounts WHERE custID = ‘” + request.getParameter(“id”) + “‘”;
代码注入漏洞的核心是缺乏对Web应用程序使用的数据的验证和清理,这意味着该漏洞几乎可以存在于任何类型的技术上。
任何接受参数作为输入的内容都可能容易受到代码注入攻击。
这是另一个SQL注入示例,影响了超过50万个具有WordPress 的YITH WooCommerce愿望清单插件的网站:
在这里插入图片描述
上面显示的SQL注入可能会导致敏感数据泄漏并损害整个WordPress安装。

那我们又该如何防止呢?

  • 防止代码注入漏洞确实取决于我们在网站上使用的技术。例如,如果使用WordPress,则可以通过将代码注入漏洞保持在最少的已安装插件和主题范围内,从而最大程度地减少代码注入漏洞。
  • 如果拥有一个量身定制的Web应用程序和一个专门的开发人员团队,则需要确保开发人员在设计和编写软件时可以遵循的安全要求。这将使他们能够在项目的生命周期中继续考虑安全性。

建议

  • 首选选项是使用安全的API,该API避免完全使用解释器,或者提供参数化的接口或迁移为使用对象关系映射工具(ORM)。注意:即使参数化了,但是如果PL / SQL或T-SQL连接查询和数据,或者使用EXECUTE
    IMMEDIATE或exec()执行恶意数据,则存储过程仍然可以引入SQL注入。
  • 使用肯定或“白名单”服务器端输入验证。由于许多应用程序都需要特殊字符,例如文本区域或移动应用程序的API,因此这并不是一个完整的防御措施。
  • 对于任何残留的动态查询,请使用该解释程序的特定转义语法来转义特殊字符。注意:表名,列名等SQL结构无法转义,因此用户提供的结构名很危险。这是报表编写软件中的常见问题。
  • 在查询中使用LIMIT和其他SQL控件可防止在SQL注入的情况下大量泄露记录。

总结

  1. 数据与Web应用程序逻辑的分离。
  2. 实施设置和/或限制,以在成功进行注入攻击的情况下限制数据公开。

这篇关于OWASP top10(OWASP十大应用安全风险)之A1 注入 (Injection)的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/536593

相关文章

中文分词jieba库的使用与实景应用(一)

知识星球:https://articles.zsxq.com/id_fxvgc803qmr2.html 目录 一.定义: 精确模式(默认模式): 全模式: 搜索引擎模式: paddle 模式(基于深度学习的分词模式): 二 自定义词典 三.文本解析   调整词出现的频率 四. 关键词提取 A. 基于TF-IDF算法的关键词提取 B. 基于TextRank算法的关键词提取

水位雨量在线监测系统概述及应用介绍

在当今社会,随着科技的飞速发展,各种智能监测系统已成为保障公共安全、促进资源管理和环境保护的重要工具。其中,水位雨量在线监测系统作为自然灾害预警、水资源管理及水利工程运行的关键技术,其重要性不言而喻。 一、水位雨量在线监测系统的基本原理 水位雨量在线监测系统主要由数据采集单元、数据传输网络、数据处理中心及用户终端四大部分构成,形成了一个完整的闭环系统。 数据采集单元:这是系统的“眼睛”,

csu 1446 Problem J Modified LCS (扩展欧几里得算法的简单应用)

这是一道扩展欧几里得算法的简单应用题,这题是在湖南多校训练赛中队友ac的一道题,在比赛之后请教了队友,然后自己把它a掉 这也是自己独自做扩展欧几里得算法的题目 题意:把题意转变下就变成了:求d1*x - d2*y = f2 - f1的解,很明显用exgcd来解 下面介绍一下exgcd的一些知识点:求ax + by = c的解 一、首先求ax + by = gcd(a,b)的解 这个

hdu1394(线段树点更新的应用)

题意:求一个序列经过一定的操作得到的序列的最小逆序数 这题会用到逆序数的一个性质,在0到n-1这些数字组成的乱序排列,将第一个数字A移到最后一位,得到的逆序数为res-a+(n-a-1) 知道上面的知识点后,可以用暴力来解 代码如下: #include<iostream>#include<algorithm>#include<cstring>#include<stack>#in

zoj3820(树的直径的应用)

题意:在一颗树上找两个点,使得所有点到选择与其更近的一个点的距离的最大值最小。 思路:如果是选择一个点的话,那么点就是直径的中点。现在考虑两个点的情况,先求树的直径,再把直径最中间的边去掉,再求剩下的两个子树中直径的中点。 代码如下: #include <stdio.h>#include <string.h>#include <algorithm>#include <map>#

【区块链 + 人才服务】可信教育区块链治理系统 | FISCO BCOS应用案例

伴随着区块链技术的不断完善,其在教育信息化中的应用也在持续发展。利用区块链数据共识、不可篡改的特性, 将与教育相关的数据要素在区块链上进行存证确权,在确保数据可信的前提下,促进教育的公平、透明、开放,为教育教学质量提升赋能,实现教育数据的安全共享、高等教育体系的智慧治理。 可信教育区块链治理系统的顶层治理架构由教育部、高校、企业、学生等多方角色共同参与建设、维护,支撑教育资源共享、教学质量评估、

客户案例:安全海外中继助力知名家电企业化解海外通邮困境

1、客户背景 广东格兰仕集团有限公司(以下简称“格兰仕”),成立于1978年,是中国家电行业的领军企业之一。作为全球最大的微波炉生产基地,格兰仕拥有多项国际领先的家电制造技术,连续多年位列中国家电出口前列。格兰仕不仅注重业务的全球拓展,更重视业务流程的高效与顺畅,以确保在国际舞台上的竞争力。 2、需求痛点 随着格兰仕全球化战略的深入实施,其海外业务快速增长,电子邮件成为了关键的沟通工具。

AI行业应用(不定期更新)

ChatPDF 可以让你上传一个 PDF 文件,然后针对这个 PDF 进行小结和提问。你可以把各种各样你要研究的分析报告交给它,快速获取到想要知道的信息。https://www.chatpdf.com/

安全管理体系化的智慧油站开源了。

AI视频监控平台简介 AI视频监控平台是一款功能强大且简单易用的实时算法视频监控系统。它的愿景是最底层打通各大芯片厂商相互间的壁垒,省去繁琐重复的适配流程,实现芯片、算法、应用的全流程组合,从而大大减少企业级应用约95%的开发成本。用户只需在界面上进行简单的操作,就可以实现全视频的接入及布控。摄像头管理模块用于多种终端设备、智能设备的接入及管理。平台支持包括摄像头等终端感知设备接入,为整个平台提

【区块链 + 人才服务】区块链集成开发平台 | FISCO BCOS应用案例

随着区块链技术的快速发展,越来越多的企业开始将其应用于实际业务中。然而,区块链技术的专业性使得其集成开发成为一项挑战。针对此,广东中创智慧科技有限公司基于国产开源联盟链 FISCO BCOS 推出了区块链集成开发平台。该平台基于区块链技术,提供一套全面的区块链开发工具和开发环境,支持开发者快速开发和部署区块链应用。此外,该平台还可以提供一套全面的区块链开发教程和文档,帮助开发者快速上手区块链开发。