码迷,mamicode.com
首页 > Web开发 > 详细

OWASP TOP 10 web安全威胁---A注入攻击

时间:2020-05-25 16:03:13      阅读:100      评论:0      收藏:0      [点我收藏+]

标签:渗透   字符型   判断   拼接   ant   comm   就是   asp   表示   

A注入攻击

A1.SQL注入

原理:

当应用程序将用户输入的内容拼接到SQL语句中,一起提交给数据库执行时,就会产生SQL注入威胁。

判断是否存在SQL注入漏洞语句:

and 1=2/and 1=1

SQL注入分类:

  1. 数字型
  2. 字符型
  3. 报错注入
  4. 布尔型盲注
  5. 基于时间的盲注

宽字节注入:

addslashes()对‘转义为\‘

  1. 吃掉\
  2. 构造\\

防御措施:

  1. 采用PDO技术,划清代码与数据的界限。
  2. 在web应用服务器前部署WAF设备。

WAF绕过:

1.白盒绕过(分析代码)

2.黑盒绕过

      1》寻找源网站真实地址,针对云WAF(有CDN节点)

                        1)ping判断是否有

                        2)注册绕过

                        3)国外ip访问

      2》渗透同网段其它主机,类似C段渗透。

      3》POST上传较大数据绕过检测。

      4》注释符、空白符、大小写、双写、替换和报错注入等。

3.fuzz测试(burp suite配合手工测试,成功后用工具跑)

A2.XXE(XML外部实体注入)

原理:

攻击者通过向服务器注入指定的xml实体内容,从而让服务器按照指定的配置进行执行,导致问题。

也就是说服务器端接收和解析了来自用户端的xml数据,而又没有做严格的安全控制,从而导致xml外部实体注入。

漏洞产生原因:

XML文档格式的第二部分DTD存在XXE漏洞。

DTD外部引用可支持http、file、ftp等协议。

没有对接受的XML数据做任何安全上的措施。

漏洞利用:

获取http://192.168.18.21/Less49.txt文件信息。

输入

<?xml version = "1.0"?>
<!DOCTYPE ANY [
<!ENTITY f SYSTEM "http://192.168.18.21/Less49.txt">
]>
<x>&f;</x>

防御措施:

解析xml的函数默认禁止解析外部实体内容。

A3.Command Injection(命令行注入)

原理:

通过提交恶意构造的参数破坏命令语句结构,从而达到执行恶意命令的目的。

漏洞利用:

Command 1 && Command 2

先执行Command 1,执行成功后执行Command 2,否则不执行Command 2。

Command 1&Command 2

先执行Command 1,不管是否成功,都会执行Command 2。

Command 1 | Command 2

“|”是管道符,表示将Command 1的输出作为Command 2的输入,并且只打印Command 2执行的结果。

防御措施:

代码加入Anti-CSRF token,同时对参数ip进行严格的限制,只有诸如“数字.数字.数字.数字”的输入才会被接收执行。

OWASP TOP 10 web安全威胁---A注入攻击

标签:渗透   字符型   判断   拼接   ant   comm   就是   asp   表示   

原文地址:https://www.cnblogs.com/123456ZJJ/p/12956804.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!