应用功能与安全隐患对应关系
1.功能与隐患的对应关系
安全隐患和Web应用的功能有关,在程序设计或编写代码时,根据此时正在实现的功能对对应的安全隐患采取措施。
Web应用的普遍形式为,首先确定文本的框架结构,然后再将数据填入其中。
SQL注入产生的原因为,在被认定为数据的位置插入了单引号使得数据部分结束,从而更改了SQL语句的构造。
同样也适用于其他的注入型隐患。通过插入引号或分隔符等用于表示“数据部分边界”的字符,从而改变了文本的结构。
2.注入型隐患的比较
隐患名 | 接口 | 恶意手段 | 数据部分边界 |
跨站脚本 | HTML | 注入JavaScript等 | < "等 |
HTTP消息头注入 | HTTP | 注入HTTP响应消息头 | 换行符 |
SQL注入 | SQL | 注入SQL命令 | ‘等 |
OS命令注入 | Shell脚本 | 注入系统命令 | ;|等 |
邮件头注入 | sendmail命令 | 注入或更改邮件头或正文 | 换行符 |
引用:《Web应用安全权威指南》