OWASP TOP10系列之#TOP1# A1-注入类

OWASP TOP10系列之#TOP1# A1-注入类

提示：本系列将介绍OWASP TOP10 安全漏洞相关介绍，主要针对漏洞类型、攻击原理以及如何防御进行简单讲解；如有错误，还请大佬指出，定会及时改正~

前言

在OWASP（开放式Web应用程序安全项目）公布的10项最严重的Web 应用程序安全风险列表的在 2013、2017 的版本中都是第一名

一、注入类漏洞是什么？

注入类漏洞是利用应用程序弱点，通过恶意字符将恶意代码写入数据库，获取敏感数据或进一步在服务器执行命令
几乎任何数据源都可以是注入向量，比如环境变量、参数以及用户信息等等，当攻击者可以向程序发送恶意数据时，就会出现注入缺陷
注入缺陷非常普遍，尤其是在代码中。一些更常见的注入有SQL、NoSQL、OS命令、对象关系映射（ORM）、LDAP和表达式语言（EL）或对象图导航库（OGNL）注入
检查代码时很容易发现注入缺陷，源代码检查是检测应用程序是否易受注入攻击的最佳方法，紧随其后的是对所有参数、头、URL、cookie、JSON、SOAP和XML数据输入进行彻底的自动化测试。还可以使用包括静态源（SAST）、动态应用程序测试（DAST）工具以及IAST（交互式应用安全测试），以在生产部署之前识别引入的注入缺陷。

二、什么情况下会产生注入类漏洞问题？

1 应用程序不会验证、过滤或清理用户提供的数据；
2 在对象关系映射（ORM）搜索使用恶意数据参数，用于提取额外的敏感记录；
3 恶意数据被直接使用或连接，比如SQL或执行CMD命令时，在动态查询、命令或存储过程中使用
包含结构数据和恶意数据。

三、如何预防？

1 将数据与命令和查询分开，使用安全的API，提供参数化接口并正确使用对象关系映射工具（ORM）
2.对服务器端输入进行验证，必要时需要对特殊字符进行转义、正则匹配等

四、具体示例

1.SQL注入

攻击者修改浏览器中的 ‘id’ 参数值以发送：’ 或 ‘1’=‘1
http://example.com/app/accountView?id=’ or ‘1’='1

更改两个查询的含义以返回帐户表中的所有记录。
更危险的攻击可能会修改或删除数据，甚至调用存储过程