|
|
|
知识路径: > 网络信息安全概述 > 网络信息安全目标与功能 > 网站安全需求分析与安全保护工程 > Web应用漏洞分析与防护 > OWASP Top 10 >
|
|
相关知识点:10个
|
|
|
|
|
将不受信任的数据作为命令或查询的一部分发送到解析器时,导致产生注入漏洞,如SQL注入漏洞、NoSQL注入漏洞、OS注入漏洞和LDAP注入漏洞。攻击者构造恶意数据输入诱使解析器在没有适当授权的情况下执行非预期命令或访问数据。该漏洞的出现场景举例如下:
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
攻击者将提交的参数Beijing sales替换为Shenzhen sales(department=*),*字符为LDAP的通配符,变化后为:
|
|
|
|
|
|
|
|
|
|
| |
|
|
|
