網路注入(web injection)是網路犯罪工具包內常見的工具,更是每位開發者、資訊保安(infosec)專家都頭疼的問題。特別是跨站指令碼、命令注入、sql注入和xml注入,都是企業**和網頁應用程式經常遭遇的攻擊型別。由於這些攻擊可以透過多種方式執行,所以也增加了防禦的難度。
亞信安全詳解:四種常見的網路注入攻擊
sql注入(sql injection,sqli)
sql注入可以用來入侵使用資料庫的軟體,被開放式web應用程式安全專案(owasp)視為入侵**及sql資料庫最常見的技術之一。sqli將惡意sql語法插入輸入字串(作為指令或查詢的一部分),並且利用了軟體或網頁應用程式的漏洞。例如:沒有正確地過濾使用者輸入。比方說,攻擊者可以將惡意輸入變成sql查詢的引數,讓資料庫認為是sql指令的一部分而執行。
sqli攻擊成功可以讓黑客偽裝成目標身份並取得資料庫伺服器的管理許可權。黑客接著可以修改現有資料,取出系統內的資料,破壞、覆蓋或刪除資料,甚至使其無法聯網。對於會用如何入侵網路來威脅企業的漏洞獵人,以及會刪除**內容並將其活動偽裝成勒索病毒的不法分子來說,這一直是個首選技術。sqli還被用來竄改**以及公開儲存在資料庫內的個人識別資料、帳密和敏感公司資料。
命令注入(command injection)
不同於sqli攻擊針對資料庫相關網頁應用程式/服務,命令注入讓攻擊者插入惡意shell命令到**主機作業系統。可以找出應用程式安裝的目錄,並在那裡執行惡意指令碼。命令注入讓黑客可以利用有漏洞的網頁應用程式來執行任意命令。例如,當應用程式將表單、http標頭和cookie內的惡意內容帶到系統shell時,此類攻擊就會用這些不安全應用程式的許可權執行。
簡而言之,當惡意輸入被誤認為作業系統命令時就會發生命令注入,讓不法分子可以取得檔案或網頁伺服器的控制。2023年的shellshock攻擊就是一例:它們讓攻擊者可以修改網頁伺服器內容、變更****、竊取或外洩資料、變更許可權以及安裝後門等惡意軟體。
xml外部實體注入(xml external entity injection,xxe)
這類攻擊不像sqli或跨站指令碼那樣常出現,但xml外部實體注入(xxe)最近也受到了關注。xml(可延伸標記式語言)支援外部實體,可以用來引用或呼叫主檔案外的資料到xml檔案。xxe會攻擊網頁應用程式解析未知或可疑**xml輸入時的漏洞,將惡意內容注入將使用者或客戶資料輸入應用程式的檔案(如xml檔案)。
xxe攻擊成功可以讓黑客訪問內部網路或服務、讀取存放在伺服器上的系統檔案以及掃瞄內部埠。在某些狀況下,xxe可以讓攻擊者執行遠端**(比方說透重載入惡意可執行php**),這些都取決於解析器的許可權。
現在越來越多主要的web程式被發現和報告存在xxe漏洞,比如說facebook、paypal等等。
跨站指令碼(cross site scripting,xss)
利用跨站指令碼(xss)漏洞讓不法分子可以將惡意指令碼注入使用者的瀏覽器。owasp的最新資料表示xss是最大的安全風險,常被用來進行網頁竄改(defacement)和自動化網路攻擊。聯聯周邊遊怎麼賺佣金
亞信安全教你如何防範
不要輕易相信任何人。網頁開發者必須假設所有的使用者輸入都是惡意的,必須加以驗證。白名單(拒絕白名單以外的任何輸入)是安全處理輸入的方法之一。在開發**和網頁應用程式時,請考慮出現輸入問題時要終止執行(例如使用非預期字元),並且要過濾和編碼輸入來確保都經過檢查。有些程式語言具有汙點檢驗(taint-checking)功能,可以檢查和防止用來執行惡意命令的輸入。輸出也必須驗證,網頁開發者應該用替代字元來編碼輸出,這樣可以防止意外執行。
始於安全設計。網頁開發者要在層疊樣式表(css)屬性、html屬性和xml解析器內嚴格驗證不受信任的資料(同時保留**/應用程式外觀)是防禦入侵的必要條件。
保持與時俱進。安全專家必須定期進行更新及安裝修補程式,以防止系統及軟體的安全漏洞被利用。同時公司內部也需要提供安全教育訓練和稽查。
採取縱深防禦與多層次防禦機制。安全專家應該要及時發現網路內出現的惡意和可疑資料及流量,檢查**或網頁應用程式內的聯機以及請求和響應(如http、https、soap和xml遠端程式呼叫等),比方說,檢查可能顯示出現的xss攻擊**。開發人員可以考慮採取縱深防禦的安全策略:在**或網頁應用程式內採取多層次防禦機制以減少被攻擊成功的可能性。
減少暴露自己。開發人員應該停用**、資料庫或網頁應用程式不必要的元件,因為會增加受攻擊的概率。建議安全專家停用不必要或未使用的埠,以阻止某些應用程式協定相關的網路攻擊和惡意使用。開發人員在建立/開發**和網頁應用程式時也同樣地必須想到這些。
四元數一般定義如
發表於 2011 08 06 13 47 39 網上討論四元素法表示轉動的文章不少,但似乎總不能講清楚。例如在csdn上有 其中談到 四元數一般定義如下 q w xi yj zk 其中w是實數,x,y,z是虛數,其中 i i 1 j j 1 k k 1 也可以表示為 q w,v 其中v x,y,z ...
jxTMS 業務系統推進企業進化的一般路徑
jxtms 低成本快速定製的全棧開發平台。業務流程主要是圍繞如何卡控來展開設計的。而業務過程的卡控主要包括如下四個方面 通過上述的分析,可以看出,目前的業務系統主要的發力點在於準確性,所以業務系統的建設路徑是 也就是說,業務系統由於具有提公升業務作業效率的能力,所以部署業務系統即意味著改善業務能力,...
pragma的一般用法
pragma是乙個c語言中的預處理指令,它的作用是設定編譯器的狀態或者是指示編譯器完成一些特定的動作。依據定義,編譯指示是機器或作業系統專有的,且對於每個編譯器都是不同的。其格式一般為 pragma para 其中para 為引數,下面來看一些常用的引數。2 另乙個使用得比較多的pragma引數是c...