478
什么是命令注入攻击?

1、基础概念

        Command Injection,即命令注入攻击,是指这样一种攻击手段,黑客通过把HTML代码输入一个输入机制(例如缺乏有效验证限制的表格域)来改变网页的动态生成的内容。


        Command Injection,即命令注入攻击,是指这样一种攻击手段,黑客通过把HTML代码输入一个输入机制(例如缺乏有效验证限制的表格域)来改变网页的动态生成的内容。一个恶意黑客(也被称为破裂者cracker)可以利用这种攻击方法来非法获取数据或者网络资源。当用户进入一个有命令注入漏洞的网页时,他们的浏览器会通译那个代码,而这样就可能会导致恶意命令掌控该用户的电脑和他们的网络。


        命令注入攻击最初被称为Shell命令注入攻击,是由挪威一名程序员在1997年意外发现的。第一个命令注入攻击程序能随意地从一个网站删除网页,就像从磁盘或者硬盘移除文件一样简单。

   

        最常见的命令注入攻击形式是SQL命令注入攻击或者简称为SQL注入攻击,是指破裂者利用设计上的安全漏洞,把SQL代码粘贴在网页形式的输入框内,获取其网络资源或者改变数据的一种攻击。


2、防范手段

        程序对非受信的用户输入数据进行净化,删除不安全的字符。

        穿件一份安全字符串列表,限制用户只能输入该列表的数据。

        不要让用户直接控制eval()、eser()、readObject()等函数的参数。

        使用源代码静态分析工具,进行自动化的检测,可以有效的发现源代码中的命令注入问题。

        使用翔云网络高防系列产品。



                    翔云,专注高防IDC,只为用户提供最极致、最优质的的高防服务


翔云网络高防产品:

        高防服务器:https://www.aqxyun.com/lease/

        高防云服务器:https://www.aqxyun.com/server/

        高防IP:https://www.aqxyun.com/gfip/

        高防CDN:https://www.aqxyun.com/gfcdn/



这条帮助是否解决了您的问题? 已解决 未解决

提交成功!非常感谢您的反馈,我们会继续努力做到更好! 很抱歉未能解决您的疑问。我们已收到您的反馈意见,同时会及时作出反馈处理!

翔云网络帮助中心