标签:软件 程序 解析 引入 导致 shel 过程 服务 测试
注入是利用处理无效数据导致的计算机错误。攻击者使用注入将代码引入(或“注入”)到易受攻击的计算机程序中并改变执行过程。成功注入代码的结果可能是灾难性的,例如允许计算机蠕虫传播。
当应用程序将不受信任的数据发送给解释器时,会发生代码注入漏洞(注入漏洞)。注入漏洞最常出现在SQL,LDAP,XPath或NoSQL查询中; OS命令; XML 解析器,SMTP头,程序参数等。在检查源代码时,注入漏洞往往比通过测试更容易发现。[扫描仪和模糊器有助于发现注射缺陷。
注入可能导致数据丢失或损坏,缺乏问责制或拒绝访问。注射有时可以导致完全接受主体。
某些类型的代码注入是解释中的错误,仅为用户输入提供特殊含义。类似的解释错误存在于计算机科学的世界之外,例如喜剧常规Who‘s on First?。在例程中,无法将正确的名称与常规单词区分开来。同样,在某些类型的代码注入中,无法区分用户输入和系统命令。
代码注入技术在系统黑客攻击或破解以获取信息,权限提升或未经授权访问系统方面很受欢迎。代码注入可以出于多种目的而恶意使用,包括:
通过SQL注入任意修改数据库中的值。这种影响可能包括网站污损和敏感数据的严重危害。
通过注入服务器脚本代码(例如PHP或ASP)在服务器上安装恶意软件或执行恶意代码。
通过利用Windows上的服务在UNIX或本地系统上利用setuid根二进制文件中的Shell Injection漏洞,将权限升级为root权限。
使用HTML /脚本注入(跨站点脚本)攻击Web用户。
标签:软件 程序 解析 引入 导致 shel 过程 服务 测试
原文地址:https://www.cnblogs.com/chhhh/p/10508134.html