注射攻击的OWASP定义说 -
当不受信任的数据作为命令或查询的一部分发送到解释器时,会发生SQL,OS和LDAP注入等注入漏洞。攻击者的恶意数据可能会欺骗解释器在没有适当授权的情况下执行非预期的命令或访问数据。
每种情况下解释器的含义是什么(LDAP,OS,SQL等)?所有类型的注入攻击都需要解释器,例如XML,XPath,HTTP等吗?
答案 0 :(得分:0)
是的,代码注入攻击的本质是攻击者欺骗应用程序运行一些不属于该应用程序预期功能的代码语句。
这意味着必须有一些机制来解析和执行攻击者有效负载中包含的恶意代码,然后应用程序的所有者才能阻止它。
理论上,应用程序可以编译代码并自动运行它,但是这种类型的攻击更常见的是使用未编译但在运行时解释的恶意代码。
您的其他示例(XML,XPath,HTTP)通常与代码注入无关。