首页 » 安全知识库 » WEB安全原理 » 代码注入 » 正文

代码注入(CODE Injection)攻击

名称:代码注入攻击(CODE Injection)

描述:Web应用代码中,允许接收用户输入一段代码,之后再Web应用服务器上执行这段代码,并返回给客户。由于用户可以自定义输入一段代码,在服务器上执行,所以恶意用户可以写一个远程控制木马,直接获取服务器控制权限,所有服务器上的资源都会被恶意用户获取和修改,甚至可以直接控制数据库。

修复方案:
执行代码的参数,或文件名,禁止和用户输入相关,只能由开发人员定义代码内容,用户只能提交“1、2、3”参数,代表相应代码。


腾讯社区wiki:

http://wiki.open.qq.com/wiki/

发表评论