A1-注入漏洞（Injection）-软考在线

A1-注入漏洞（Injection）



考试要求：熟悉

知识路径： > 网络信息安全概述 > 网络信息安全目标与功能 > 网站安全需求分析与安全保护工程 > Web应用漏洞分析与防护 > OWASP Top 10

将不受信任的数据作为命令或查询的一部分发送到解析器时，导致产生注入漏洞，如SQL注入漏洞、NoSQL注入漏洞、OS注入漏洞和LDAP注入漏洞。攻击者构造恶意数据输入诱使解析器在没有适当授权的情况下执行非预期命令或访问数据。该漏洞的出现场景举例如下：

场景1：SQL注入漏洞。

场景2：NoSQL注入。

场景3：OS注入漏洞。

场景4：LDAP注入漏洞。

用户获得授权查询某些地区的销售部门：

攻击者将提交的参数Beijing sales替换为Shenzhen sales（department=*），*字符为LDAP的通配符，变化后为：

更多复习资料
请登录电脑版软考在线 www.rkpass.cn

京B2-20210865 | 京ICP备2020040059号-5