| 什么是命令注入攻击? |
1、基础概念Command Injection,即命令注入攻击,是指这样一种攻击手段,黑客通过把HTML代码输入一个输入机制(例如缺乏有效验证限制的表格域)来改变网页的动态生成的内容。 Command Injection,即命令注入攻击,是指这样一种攻击手段,黑客通过把HTML代码输入一个输入机制(例如缺乏有效验证限制的表格域)来改变网页的动态生成的内容。一个恶意黑客(也被称为破裂者cracker)可以利用这种攻击方法来非法获取数据或者网络资源。当用户进入一个有命令注入漏洞的网页时,他们的浏览器会通译那个代码,而这样就可能会导致恶意命令掌控该用户的电脑和他们的网络。 命令注入攻击最初被称为Shell命令注入攻击,是由挪威一名程序员在1997年意外发现的。第一个命令注入攻击程序能随意地从一个网站删除网页,就像从磁盘或者硬盘移除文件一样简单。 最常见的命令注入攻击形式是SQL命令注入攻击或者简称为SQL注入攻击,是指破裂者利用设计上的安全漏洞,把SQL代码粘贴在网页形式的输入框内,获取其网络资源或者改变数据的一种攻击。 2、防范手段程序对非受信的用户输入数据进行净化,删除不安全的字符。 穿件一份安全字符串列表,限制用户只能输入该列表的数据。 不要让用户直接控制eval()、eser()、readObject()等函数的参数。 使用源代码静态分析工具,进行自动化的检测,可以有效的发现源代码中的命令注入问题。 使用翔云网络高防系列产品。 翔云,专注高防IDC,只为用户提供最极致、最优质的的高防服务 翔云网络高防产品: 高防服务器:https://www.aqxyun.com/lease/ 高防云服务器:https://www.aqxyun.com/server/ 高防IP:https://www.aqxyun.com/gfip/ 高防CDN:https://www.aqxyun.com/gfcdn/ |
