為了避免自己撰寫出具有安全風險的程式碼而仍不自知,就挑上這堂 從 OWASP Top 10 實現全方位防禦強化 課程。這邊筆記下注入流程攻擊與可能的應對方式。
課程相關資訊
[連結]:https://hiskio.com/courses/1539/lectures/160745
本篇範圍:Chapter 2
請注意:本系列文章為個人對應課程的消化吸收後,所整理出來的內容。換言之,並不一定會包含全部的課程內容,也有可能會添加其他資源來說明。
內容
藉由不安全的正規表達式處理,進而讓白名單失效來達成攻擊。
例如於上傳檔案時,能夠允許的網域: /(?:^|\.)<要接上的內容>/i ,其實要接上的內容有多個點也是可以通過的。
小結
1. SQL Injection
2. Command Injection
3. Insecure File Uploads