本篇介绍了以下代码安全问题
1、命令注入
2、SQL注入
3、HTTP响应截断
4、资源注入
5、数据库访问控制
6、资源未释放
7、资源未释放:游标
8、存储型XSS
9、反射型XSS
10、弱验证
1、命令注入
详细信息
命令注入是指应用程序执行命令的字符串或字符串的一部分来源于不可信赖的数据源,程序没有对这些不可信赖的数据进行验证、过滤,导致程序执行恶意命令的一种攻击方式。
例如:以下代码定义了一个T-SQL存储过程,当使用不可信的数据调用该过程时,将执行攻击者控制的系统命令。
...
CREATE PROCEDURE dbo.execOpt (@param NVARCHAR(200))
AS
exec xp_cmd