呼市web培训机构推荐

　　你知道几种web注入攻击？

　　注入攻击是众多攻击之一，在注入攻击中，攻击者给程序提供恶意的输入，解析引擎把恶意输入作为命令或者查询的一部分，顺带着改变了程序执行的流程。

　　注入是web程序古老的和危险的攻击之一，它们能导致数据被偷，数据丢失，数据完整性丢失，dos，甚至系统沦丧。主要产生原因是对用户输入验证不足。

　　这种攻击方式是web安全的主要问题之一，在OWASP Top 10 web安全风险列表中。注入攻击，尤其是SQL注入（SQLi攻击)和跨站（xss），它们不仅危险并且普遍，特别是遗留在程序里面。

　　攻击面比较大的（特别是xss和Sql注入漏洞）注入漏洞尤其可怕。此外，注入攻击是漏洞中非常好理解的一种，这就意味着有许多0元提供和可靠的工具容许甚至一些没有经验的攻击者自动化的乱用这些漏洞。

　　SQL注入(SQLi)和跨站（xss）是许多常用注入攻击之一，下面列出常用攻击类型

　　种代码注入

　　攻击者通过网站类型注入相应的代码，这个代码以当前网站用户的权限执行系统命令，在事件中，攻击者可能溢出来提权导致真个web服务器的沦丧.

　　第二种CRLF注入

　　攻击者注入一个特殊的CRLF字符，这个字符被用来区分http回复头和正文，导致可以写任意正文内容，这种攻击一般和xss结合使用。

　　第三种XSS

　　攻击者注入任意脚本（一般是javascript）到合法网站或者web程序中，这个脚本执行在客户端

　　第四种Email头注入

　　这种攻击和CRLF攻击很相似，攻击者发送恶意的IMAP/SMTP命令

　　第五种Host头注入

　　攻击者乱用HTTP Host头的信任来篡改密码重设功能和web缓存

　　第六种LDAP注入

　　攻击者注入LDAP语句来执行任意LDAP命令，获得修改LDAP树的内容的权利

　　第七种OS命令注入

　　攻击者用当前web应用程序的权限来注入系统命令，在案例中，攻击者通过溢出获得权限提升导致系统沦丧

　　第八种SQL注入

　　攻击者注入sql语句来读取和修改数据库数据，在sql注入案例中，攻击者能执行sql语句写服务器上的任意文件和甚至执行系统命令，这会导致系统沦丧

　　第九种XPath注入

　　攻击者注入数据到应用程序中来执行精心准备的XPath查询，以此来获得无授权访问和bypass授权