iT邦幫忙

2024 iThome 鐵人賽

DAY 5
0
Security

WEB仔也要懂資安嗎系列 第 5

5/Code Injection

  • 分享至 

  • xImage
  •  

Code Injection
攻擊者將惡意代碼注入到應用程序中,並使應用程序執行這些代碼。這通常發生在應用程序未對用戶輸入進行適當處理並將其作為可執行代碼運行的情況。

最常見的例子是eval()函數,在Node.js跟python都有的一個很方便的函數,由於可以用來直接執行輸入的內容,
因此若是沒有做好檢核,很容易就讓攻擊者抓到漏洞來對網站進行攻擊。通常弱點掃描工具只要掃到eval()都會直接認定是弱點,除非必要,否則不要使用eval()比較安全。

以python為例:
user_input = input("Enter a calculation: ")
result = eval(user_input)
print(result)

若輸入的內容是
import('os').system('rm -rf /')
就有可能會導致server上的文件被大量刪除


上一篇
4/Command Injection
下一篇
6/Reflected Cross-Site Scripting
系列文
WEB仔也要懂資安嗎30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言