日志注入

日志注入一般不会引起服务功能性的损害，而主要是作为一种辅助攻击手段。

1. New Line Injection

插入新行的注入方式，这种方式是最普遍的log注入方法。
例如：张三不怀好意，在用户名一栏里输入如下的字符
张三\n delete all files

2. Sparator Injection

有些人写日志喜欢用一些分隔符来分隔不同的字段，比如用分隔符：|，或者使用TAB作为分隔符。如果在日志中加入相同的分隔符，管理通过直接阅读日志会很容易发现，但如果管理员使用程序读取日志，则会产生误解。
防御方法：建议尽量不要使用分隔符，或替换分隔符。

3. Timestamp Injection

空行注入的一种方式，如果日志中会记录时间戳，入侵者在恶意注入的日志中加入时间戳，达到误导管理人员的目的。

4. Abusing Word Wrap

当换行注入被拒绝的时候，还有一种投机的办法，就是不主动换行，使用一些空格或其他符号，导致文字自动换行。

5. HTML Injection

很多情况下，日志内容被读取后，会在一个网页中进行显示。