本篇介紹了以下代碼安全問題
1、命令注入
2、SQL注入
3、HTTP響應截斷
4、資源注入
5、數據庫訪問控制
6、資源未釋放
7、資源未釋放:遊標
8、存儲型XSS
9、反射型XSS
10、弱驗證
1、命令注入
詳細信息
命令注入是指應用程序執行命令的字符串或字符串的一部分來源於不可信賴的數據源,程序沒有對這些不可信賴的數據進行驗證、過濾,導致程序執行惡意命令的一種攻擊方式。
例如:以下代碼定義了一個T-SQL存儲過程,當使用不可信的數據調用該過程時,將執行攻擊者控制的系統命令。
...
CREATE PROCEDURE dbo.execOpt (@param NVARCHAR(200))
AS
exec xp_cmd