网站建设设计细节,如何做简易网站,wordpress禁用灯箱效果,wordpress 设置不生效作者#xff1a;gentle_zhou
原文链接#xff1a;OWASP Top 10漏洞解析#xff08;3#xff09;- A3:Injection 注入攻击-云社区-华为云 Web应用程序安全一直是一个重要的话题#xff0c;它不但关系到网络用户的隐私#xff0c;财产#xff0c;而且关系着用户对程序的新…作者gentle_zhou
原文链接OWASP Top 10漏洞解析3- A3:Injection 注入攻击-云社区-华为云 Web应用程序安全一直是一个重要的话题它不但关系到网络用户的隐私财产而且关系着用户对程序的新人。随着Web应用程序功能持续增加复杂性不断提高这些程序也面临着越来越多的安全威胁和挑战。
为了帮助这些应用程序的开发团队和安全人员了解和防范这些威胁提高安全意识编写更安全的代码OWASPOpen Web Application Security Project开放式Web应用程序安全项目发布了一份标准指南称为OWASP Top 10。
这是一份关于Web应用程序安全风险的标准指南它基于全球范围内的安全专家和数据提供者的共识列出了当前最严重、最关键的10种Web应用程序安全风险并提供了相应的防范措施和建议。OWASP Top10 每隔几年会更新一次目前已经发布了六个版本分别是2004年、2007年、2010年、2013年、2017年和2021年最新的版本是在2021年发布的OWASP Top10:2021。 已解析的OWASP漏洞
OWASP Top 10漏洞解析1- A1:Broken Access Control 访问控制失效OWASP Top 10漏洞解析1- A1:Broken Access Control 访问控制失效-云社区-华为云OWASP Top 10漏洞解析2- A2:Cryptographic Failures 加密机制失效OWASP Top 10漏洞解析2- A2:Cryptographic Failures 加密机制失效-云社区-华为云
“注入攻击”缺陷详情
今天就来为大家讲解其中的第三条缺陷Injection 注入攻击它从2017年版本下滑到2021年版本的第三位。 注入攻击是一种网络安全威胁它利用了应用程序对用户输入的数据没有进行充分的验证从而导致恶意数据被当作代码来执行产生的漏洞其目的通常是获取程序内敏感信息、执行非法操作、破坏系统功能或完整性等。注入攻击可以影响各种类型的应用程序包括Web应用、数据库应用、命令行应用等。
注入攻击的本质是程序内违反了数据与代码分离的原则即用户输入的数据被拼接到原本要执行的代码中从而改变了代码的语义或结构。
注入攻击发生的两个关键条件是
用户可以控制输入数据代码拼接了用户输入的数据并带入程序中去执行
94%的应用程序会被某种类型的注入攻击所测试一共最高发生27.4万次其中成功概率最高达19%平均达3%。这里值得注意的是一些经典有名的CWE缺陷中就包括该缺陷比如CWE-89Improper Neutralization of Special Elements used in an SQL Command SQL注入攻击CWE-77 Improper Neutralization of Special Elements used in a Command 命令注入攻击CWE-79 Improper Neutralization of Input During Web Page Generation 跨网站脚本攻击。 常见的注入攻击缺陷类型
一个应用程序在如下场景下容易被该缺陷攻击
应用程式未验证、过滤或清理用户提供的数据在interpreter解释器中未直接使用上下文感知转义的动态查询或非参数化调用Hostile data恶意数据在对象关系映射(ORM)搜索参数中使用用来提取额外的敏感记录Hostile data恶意数据被直接使用或被连接。SQL或命令包含了动态查询、命令或存储过程中的结构和恶意数据。
一些常见的注入攻击包括SQL, NoSQL, OS 命令对象关系映射ORMLDAP以及表达式语言EL或对象图像导航库OGNL注入。这个概念在所有的解释器都是相同的。如果应用程序存在注入攻击的弱点源码检查是最好的方式强烈建议对所有输入的参数、标头、URL、cookies、JSON、SOAP 以及 XML 的资料进行自动化测试。组织可以将静态源码测试SAST动态应用检测DAST工具交互式应用安全测试IAST融入到CI/CD流水线中以达到在上线部署前能识别注入攻击缺陷的目的。 如何防止该缺陷的发生
如何防止该缺陷的发生也很简单我们只需要将数据和命令以及查询分割开来
首选项就是使用安全的API避免完全使用解释器interpreter提供一个参数化的界面或则将API融合到对象关系映射ORM工具中去。注意即使已经参数化了在储存的程序中仍然有可能引入SQL注入攻击如果用户是通过PL/SQL 或 T-SQL 来连接查询和数据或则通过使用EXECUTE IMMEDIATE 或 exec() 来执行恶意数据。使用正面的服务端输入验证。这其实不是一个完整的防御因为许多应用程序需要特殊的字符比如文本区域或则移动应用程序的API。对于任何有残差的动态查询使用该解释器的特定转义语法来转义特殊字符。注意:SQL结构(比如表名、列名等)不能转义因此用户提供的结构名是危险的这可以说是报告编写软件中常见的问题。在查询中使用LIMIT 以及 其他SQL控制用来防止遭遇SQL注入攻击时记录被大量泄露。
举个栗子
场景1
一个应用程序中使用了下方这样易受攻击的SQL调用构造并且在其中使用了不受信任的数据:String query SELECT \* FROM accounts WHERE custID request.getParameter(id) ;
场景2
类似地应用程序对其中使用的框架的盲目信任可能会导致查询容易受到攻击比如HQL Hibernate 查询语言Query HQLQuery session.createQuery(FROM accounts WHERE custID request.getParameter(id) );
在上面两种情况下攻击者可以通过修改浏览器中的“id”参数值来发送: ‘UNION SLEEP(10);’. 比如说这样http://example.com/app/accountView?id UNION SELECT SLEEP(10)
这将改变这两个查询原本的含义将会返回帐户表中的所有记录。更危险的攻击可能会修改或删除数据甚至调用存储过程。
参考链接
1、https://owasp.org/Top10/A03_2021-Injection/
