当前位置：首页 > news >正文

OWASP Top 10漏洞解析（3）- A3:Injection 注入攻击

news 2026/5/13 21:11:43

作者：gentle_zhou

原文链接：OWASP Top 10漏洞解析（3）- A3:Injection 注入攻击-云社区-华为云

Web应用程序安全一直是一个重要的话题，它不但关系到网络用户的隐私，财产，而且关系着用户对程序的新人。随着Web应用程序功能持续增加，复杂性不断提高，这些程序也面临着越来越多的安全威胁和挑战。

为了帮助这些应用程序的开发团队和安全人员了解和防范这些威胁，提高安全意识，编写更安全的代码，OWASP（Open Web Application Security Project，开放式Web应用程序安全项目）发布了一份标准指南，称为OWASP Top 10。

这是一份关于Web应用程序安全风险的标准指南，它基于全球范围内的安全专家和数据提供者的共识，列出了当前最严重、最关键的10种Web应用程序安全风险，并提供了相应的防范措施和建议。OWASP Top10 每隔几年会更新一次（目前已经发布了六个版本，分别是2004年、2007年、2010年、2013年、2017年和2021年），最新的版本是在2021年发布的OWASP Top10:2021。

已解析的OWASP漏洞

OWASP Top 10漏洞解析（1）- A1:Broken Access Control 访问控制失效：OWASP Top 10漏洞解析（1）- A1:Broken Access Control 访问控制失效-云社区-华为云
OWASP Top 10漏洞解析（2）- A2:Cryptographic Failures 加密机制失效：OWASP Top 10漏洞解析（2）- A2:Cryptographic Failures 加密机制失效-云社区-华为云

“注入攻击”缺陷详情

今天，就来为大家讲解其中的第三条缺陷：Injection 注入攻击，它从2017年版本下滑到2021年版本的第三位。

注入攻击是一种网络安全威胁，它利用了应用程序对用户输入的数据没有进行充分的验证，从而导致恶意数据被当作代码来执行产生的漏洞；其目的通常是获取程序内敏感信息、执行非法操作、破坏系统功能或完整性等。注入攻击可以影响各种类型的应用程序，包括Web应用、数据库应用、命令行应用等。

注入攻击的本质是程序内违反了数据与代码分离的原则，即用户输入的数据被拼接到原本要执行的代码中，从而改变了代码的语义或结构。

注入攻击发生的两个关键条件是：

用户可以控制输入数据
代码拼接了用户输入的数据，并带入程序中去执行

94%的应用程序会被某种类型的注入攻击所测试，一共最高发生27.4万次，其中成功概率最高达19%，平均达3%。这里值得注意的是，一些经典有名的CWE缺陷中，就包括该缺陷，比如CWE-89：Improper Neutralization of Special Elements used in an SQL Command SQL注入攻击，CWE-77 Improper Neutralization of Special Elements used in a Command 命令注入攻击，CWE-79 Improper Neutralization of Input During Web Page Generation 跨网站脚本攻击。

常见的注入攻击缺陷类型

一个应用程序在如下场景下容易被该缺陷攻击：

应用程式未验证、过滤或清理用户提供的数据
在interpreter解释器中未直接使用上下文感知转义的动态查询或非参数化调用
Hostile data恶意数据在对象关系映射(ORM)搜索参数中使用，用来提取额外的敏感记录
Hostile data恶意数据被直接使用或被连接。SQL或命令包含了动态查询、命令或存储过程中的结构和恶意数据。

一些常见的注入攻击包括SQL, NoSQL, OS 命令，对象关系映射（ORM），LDAP，以及表达式语言（EL）或对象图像导航库（OGNL）注入。这个概念在所有的解释器都是相同的。如果应用程序存在注入攻击的弱点，源码检查是最好的方式，强烈建议对所有输入的参数、标头、URL、cookies、JSON、SOAP 以及 XML 的资料进行自动化测试。组织可以将静态源码测试（SAST），动态应用检测（DAST）工具，交互式应用安全测试（IAST），融入到CI/CD流水线中，以达到在上线部署前能识别注入攻击缺陷的目的。

如何防止该缺陷的发生

如何防止该缺陷的发生，也很简单，我们只需要将数据和命令以及查询分割开来：

首选项就是使用安全的API，避免完全使用解释器（interpreter），提供一个参数化的界面或则将API融合到对象关系映射（ORM）工具中去。注意：即使已经参数化了，在储存的程序中仍然有可能引入SQL注入攻击，如果用户是通过PL/SQL 或 T-SQL 来连接查询和数据，或则通过使用EXECUTE IMMEDIATE 或 exec() 来执行恶意数据。
使用正面的服务端输入验证。这其实不是一个完整的防御，因为许多应用程序需要特殊的字符，比如文本区域或则移动应用程序的API。
对于任何有残差的动态查询，使用该解释器的特定转义语法来转义特殊字符。注意:SQL结构(比如表名、列名等)不能转义，因此用户提供的结构名是危险的，这可以说是报告编写软件中常见的问题。
在查询中使用LIMIT 以及其他SQL控制，用来防止遭遇SQL注入攻击时，记录被大量泄露。

举个栗子

场景1

一个应用程序中，使用了下方这样易受攻击的SQL调用构造，并且在其中使用了不受信任的数据:
String query = "SELECT \* FROM accounts WHERE custID='" + request.getParameter("id") + "'";

场景2

类似地，应用程序对其中使用的框架的盲目信任，可能会导致查询容易受到攻击；比如，HQL Hibernate 查询语言：
Query HQLQuery = session.createQuery("FROM accounts WHERE custID='" + request.getParameter("id") + "'");

在上面两种情况下，攻击者可以通过修改浏览器中的“id”参数值来发送: ‘UNION SLEEP(10);’. 比如说这样：
http://example.com/app/accountView?id=' UNION SELECT SLEEP(10)

这将改变这两个查询原本的含义，将会返回帐户表中的所有记录。更危险的攻击可能会修改或删除数据，甚至调用存储过程。

参考链接

1、https://owasp.org/Top10/A03_2021-Injection/

OWASP Top 10漏洞解析（3）- A3:Injection 注入攻击

已解析的OWASP漏洞

“注入攻击”缺陷详情

常见的注入攻击缺陷类型

如何防止该缺陷的发生

举个栗子

场景1

场景2

参考链接

相关文章：

OWASP Top 10漏洞解析（3）- A3:Injection 注入攻击

Java自定义类加载器的详解与步骤

完美清晰，炫酷畅享——Perfectly Clear Video为你带来卓越的AI视频增强体验

如何让FileBeat支持http的output插件

解密人工智能：决策树 | 随机森林 | 朴素贝叶斯

web：[极客大挑战 2019]BabySQL

DRM全解析 —— plane详解（1）

数据结构总结

在SOLIDWORKS搭建一个简易的履带式机器人

C# 为什么要限制静态方法的使用

【已解决】Pyecharts折线图，只有坐标轴没有折线数据

win10搭建Selenium环境+java+IDEA（3）

String 、Stringbuffer、StringBuilder区别

如何提升爬虫IP使用效率？精打细算的方法分享

(高阶) Redis 7 第19讲缓存过期淘汰策略大厂篇

【四旋翼飞行器】模拟四旋翼飞行器的平移和旋转动力学（Simulink仿真实现）

Kaggle - LLM Science Exam（一）：赛事概述、数据收集、BERT Baseline

mmap底层驱动实现（remap_pfn_range函数）

品牌如何查窜货

Java基于SpringBoot的车辆充电桩

给视觉开发新手的保姆级教程：在Ubuntu上从下载源码到成功运行Demo，搞定OpenCV 3环境搭建

【Midjourney Holga风格权威调参手册】：基于1,843组实测Prompt的色偏校准模型与动态暗角衰减公式

Godot开发者的宝藏：awesome-godot资源库使用指南与实战技巧

【ElevenLabs Creator计划终极避坑手册】：基于137份真实申请案例的数据复盘——高通过率申请者的3个共性特征

HiveWE：现代魔兽争霸III地图编辑器终极指南

保姆级教程：在Windows 10上搞定QGroundControl 4.2源码编译与打包（附VS+QT配置）

VSCode安装clang-format插件及使用

从批判到机遇：技术人的思维重塑与硬科技创新实践

TrollInstallerX终极指南：深入解析iOS 14.0-16.6.1越狱工具部署技术

Java 100 天进阶之路 | 从入门到上岗就业 · 完整目录导航