코드 인젝션 예제

이러한 코드 삽입은 SQLi와 매우 유사합니다. LDAP(라이트급 디렉터리 액세스 프로토콜)는 TCP/IP 스택 위의 계층에서 실행되는 개방형 및 공급업체 중립적 디렉터리 서비스 프로토콜입니다. 인트라넷 및 인터넷(웹) 응용 프로그램을 개발하는 동안 오늘날 일반적으로 사용되는 데이터 디렉터리, 사물에 액세스하고 수정하는 적절한 메커니즘을 제공합니다. 예를 들어 사용자가 사용자 이름과 암호를 입력할 수 있도록 두 개의 필드가 있는 웹 페이지를 생각해 보겠습니다. 페이지 뒤에 있는 코드는 사용자 이름 목록에서 암호를 확인하는 SQL 쿼리를 생성합니다. 이러한 유형의 공격은 신뢰할 수 없는 데이터를 제대로 처리하지 못하도록 악용합니다. 이러한 유형의 공격은 일반적으로 적절한 입력/출력 데이터 유효성 검사가 없기 때문에 가능합니다. SQL 주입, 스크립트 주입, 셸 삽입 및 동적 평가의 네 가지 유형의 코드 주입이 주로 있습니다. 이 모든 것들은 동일한 작업 원칙, 즉 코드가 응용 프로그램에 도입되어 실행되지만 두 가지는 SQL 주입 및 스크립트 주입에 중점을 둡니다. RCE(원격 코드 실행)라고도 하는 코드 삽입은 공격자가 악성 코드를 응용 프로그램에 주입하고 실행하는 능력에 의해 발생하는 공격입니다. 주사 공격. 이 외부 코드는 데이터 보안을 위반하여 데이터베이스 무결성 또는 개인 속성을 손상시킬 수 있습니다. 대부분의 경우 인증 제어를 우회할 수 있으며 일반적으로 이러한 공격은 실행을 위해 사용자 입력에 의존하는 응용 프로그램과 연결됩니다.

SQL 인젝션은 SQL 구문을 활용하여 데이터베이스를 읽거나 수정할 수 있는 명령을 삽입하거나 원래 쿼리의 의미를 손상시면 됩니다. 코드 주입의 또 다른 양성 사용은 이러한 결함을 해결하기위한 의도로 주입 결함 자체의 발견이 될 수 있습니다. 이것은 흰색 모자 침투 테스트로 알려져 있습니다. 더 안전한 대안은 쉘이 아닌 외부 프로그램을 직접 실행하는 API를 사용하여 쉘 주입 가능성을 방지하는 것입니다. 그러나 이러한 API는 셸의 다양한 편의 기능을 지원하지 않거나 간결한 셸 구문에 비해 번거롭거나 자세한 내용이 되는 경향이 있습니다. 이러한 유형의 주입을 수행 하는 또 다른 방법은 웹사이트의 링크를 통해. 가정, 우리는 PHP 웹 사이트의 링크가. 코드 주입 문제를 방지하려면 SQL의 경우 참조 https://en.wikipedia.org/wiki/Code_injection https://www.cse.unr.edu/~mgunes/cpe401/cpe401sp11/student/CodeInjection.pptx 와 같은 보안 입력 및 출력 처리를 활용하십시오. 공격은 위조된 데이터를 생성하기 위해 합법적인 데이터베이스 쿼리를 손상시키는 것을 목표로 합니다. 공격자는 먼저 SQL 쿼리 내에 포함된 대상 웹 응용 프로그램 내에서 입력을 찾아야 합니다. 코드 주입 공격의 네 가지 주요 유형이 있습니다: 이러한 두 주입 유형 간의 주요 차이점은 악의적인 HTML 코드가 웹 서버에 저장되고 사용자가 적절한 호출을 호출할 때마다 실행될 때 저장된 주입 공격이 발생한다는 것입니다. 기능.

소프트웨어 테스트 경력에 내 경험에서, 내가 언급 하 고 싶습니다., 두 테스트 방법에 대 한 우리가 주입의이 유형에 대 한 좋은 지식을 가지고 있어야. 그렇지 않으면 적절한 자동화 도구를 선택하고 결과를 분석하기가 어려울 수 있습니다. 또한, 그것은 항상 수동으로 테스트 하는 것을 잊지 않는 것이 좋습니다., 그것은 단지 품질에 대 한 더 확실 하 게. 코드 주입 기술은 시스템 해킹 또는 크래킹에서 널리 보급되어 정보를 얻거나 권한 에스컬레이션또는 시스템에 대한 무단 액세스를 얻습니다.

 
Mobile Site

Follow Us On Facebook Follow Us On Twitter Follow Us On Google + Follow Us On LinkedIn Follow Us On You Tube Copyright 2019 © All Rights Reserved. Powered by - ARE Network Solutions