OWASP. Инъекции

Различные типы инъекций

• SQL-инъекция
• Внедрение команд ОС
• Инъекция заголовка хоста
• XPath-инъекция
• CRLF-инъекция
• Инъекция заголовка электронной почты

Инъекция SQL - атака может быть осуществлена ​​путем вставки SQL-запроса через поле ввода от клиента в приложение. Простейшая форма внедрения SQL выполняется через пользовательский ввод. Веб-приложения обычно вводят пользователя через форму, а внешний интерфейс передает пользовательский ввод во внутреннюю базу данных для обработки. Успешный SQL-инъекционный эксплойт может считывать конфиденциальные данные из базы данных, изменять данные базы данных (вставка / обновление / удаление), обход аутентификации, раскрытие информации, отказ в обслуживании. Может быть, вся система может пойти на компромисс.  

Внедрение команды OS

Атака команды операционной системы (ОС) происходит, когда злоумышленник пытается выполнить команды операционной системы с привилегиями пользователя, запускающего веб-приложение. Злоумышленники, получившие доступ к этим системам, могут изменять, манипулировать или читать данные; вводить команды, которые крадут данные или атакуют инфраструктуру; и участвовать в других разрушительных действиях. Внедрение команд сильно зависит от привилегий. Внедрение заголовка хоста Внедрение заголовка HTTP - это общий класс уязвимости безопасности веб-приложения, возникающий при динамическом создании заголовков протокола передачи гипертекста (HTTP) на основе пользовательского ввода. Внедрение заголовка в HTTP-ответах может разрешить разбиение HTTP-ответов, фиксацию сеанса с помощью заголовка Set-Cookie, межсайтовый скриптинг (XSS) и атаки злонамеренного перенаправления с помощью заголовка местоположения.

XPATH-инъекция

XPATH - это язык, используемый для запроса XML-документа с целью поиска информации, такой как поиск элементов, соответствующих определенному шаблону или содержащих атрибут. XPATH-инъекция - это тип уязвимости, который может использоваться злоумышленником для использования XML-документов путем внедрения вредоносного XPATH. Запросы в поле ввода пользователя. Внедрение такого типа происходит из-за неанизированного пользовательского ввода, из-за которого нежелательные XML-запросы вставляются в приложение, вызывая потерю данных и раскрывая логику приложения.

CRLF-инъекция

Возврат несущей CRLF и перевод строки - это специальные символы в ASCII, который используется для разделения заголовков HTTP. Инъекция CRLF - это уязвимость в программном приложении, которая возникает, когда злоумышленник вводит последовательность символов CRLF там, где ее не ищут. Когда для разделения заголовка ответа HTTP применяется внедрение CRLF, оно называется разделением ответа HTTP. Уязвимости внедрения CRLF являются результатом ввода данных, который не нейтрализован, неправильно нейтрализован или иным образом не проанализирован. 

Инъекция заголовка электронной почты

Инъекция заголовка электронной почты используется на контактных страницах веб-сайта, где электронное письмо отправляется предполагаемому получателю. Страницы контактов добавляют новые заголовки во время передачи формы на почтовый сервер. Злонамеренный пользователь может быть способен вводить дополнительные заголовки в сообщение, тем самым инструктируя почтовый сервер вести себя не так, как предполагалось. Инъекция заголовка электронной почты также известна как Инъекция заголовка SMTP, поскольку мы вводим нежелательный пользовательский ввод в заголовки SMTP, заставляя почтовый сервер спамить пользователя или вызывать фишинговую атаку.

LDAP Injection

LDAP Injection - это атака, используемая для использования веб-приложений, которые создают операторы LDAP на основе пользовательского ввода. Когда приложение не может должным образом очистить ввод данных пользователем, возможно изменить операторы LDAP с помощью методов, подобных SQL-инъекции. Атаки с использованием LDAP распространены из-за двух факторов, упомянутых ниже: Отсутствие более безопасных, параметризованных интерфейсов запросов LDAP. Широкое использование LDAP для аутентификации пользователей в системах. Влияние уязвимости на внедрение на бизнес-среду. Учитывайте ценность данных и платформы, на которой работает интерпретатор. Если все данные могут быть украдены, изменены или удалены. Будет ли ваша репутация подорвана?

Техническое воздействие уязвимости при внедрении

Раскрытие данных может привести к катастрофическим последствиям как для ваших клиентов, так и для самого вашего бизнеса. В некоторых наиболее популярных атаках злоумышленники могут раскрыть номера социального страхования, номера кредитных карт, адреса электронной почты, пароли учетных записей или другую личную информацию, которая может очень легко подвергнуть клиентов риску кражи личных данных, мошенничества и многого другого. Методы смягчения уязвимостей для инъекций Смягчение для SQLİ Существует много способов защитить SQL-инъекцию. Одним из основных методов защиты является «Подготовленные операторы (параметризованные запросы)». Этот метод заставляет разработчика определять весь код SQL, а затем передавать каждый параметр в запрос позже.

Смягчение для внедрения команды Os

Приложение должно использовать команду APIS, которая запускает определенный процесс через его имя и параметры командной строки, а не передает командную строку интерпретатору оболочки, который поддерживает формирование и перенаправление команд. Например, Java API Runtime.exec и ASP.NET Mitigation для внедрения заголовка хоста Не допускайте ввод символов новой строки. Где возможно, используйте строгий белый список.

Смягчение последствий для внедрения XPath

Во многом подобно внедрению базы данных SQL, лучшее, что можно использовать против этой атаки, - это использование предварительно скомпилированных запросов. Эти запросы предварительно устанавливаются перед выполнением программы, что означает, что можно избежать проблемного экранирования плохих символов, которые могут быть реализованы неправильно. Если динамический запрос должен быть выполнен, убедитесь, что символы, используемые для выхода из контекста. Смягчение для CRLF Всегда следуйте правилу никогда не доверять пользовательскому вводу. Санитизируйте и нейтрализуйте все предоставленные пользователем данные или правильно закодируйте выходные данные в заголовки HTTP, которые в противном случае были бы видимы пользователям, чтобы остановить внедрение последовательностей CRLF и их последствий.

Смягчение для Email Заголовок Injection смягчающих против инъекции заголовка электронной почты включает проверку пользовательского ввода, чтобы не допустить каких-либо символов новой строки в входе, которые могли бы привести любой другой заголовок SMTP, который будет добавлен. В целом, при проверке правильности ввода данных пользователя, самый простой и надежный способ для достижения мощной проверки входных данных через белый список разрешенных символов для использования в заголовках SMTP.