漏洞防止相當(dāng)重要,是網(wǎng)站建設(shè)值得關(guān)注的

　　問題：當(dāng)用戶提供的數(shù)據(jù)被作為指令的一部分發(fā)送到轉(zhuǎn)換器（將文本指令轉(zhuǎn)換成可執(zhí)行的機(jī)器指令）的時(shí)候，黑客會(huì)欺騙轉(zhuǎn)換器。攻擊者可以利用注入漏洞創(chuàng)建、讀取、更新或者刪除應(yīng)用軟件上的任意數(shù)據(jù)。在最壞的情況下，攻擊者可以利用這些漏洞完全控制應(yīng)用軟件和底層系統(tǒng)，甚至繞過系統(tǒng)底層的防火墻。

　　真實(shí)案例：俄羅斯黑客在2006年1月份攻破了美國(guó)羅得島政府網(wǎng)站，竊取了大量信用卡資料。黑客們聲稱SQL注入攻擊竊取了5.3萬(wàn)個(gè)信用卡賬號(hào)，而主機(jī)服務(wù)供應(yīng)商則聲稱只被竊取了4113個(gè)信用卡賬號(hào)。

　　如何保護(hù)用戶：盡可能不要使用轉(zhuǎn)換器。OWASP組織說(shuō)：“如果你必須使用轉(zhuǎn)換器，那么，避免遭受注入攻擊的最好方法是使用安全的API，比如參數(shù)化指令和對(duì)象關(guān)系映射庫(kù)?！?

轉(zhuǎn)載請(qǐng)注明： >> 建設(shè)網(wǎng)站注入漏洞的防止與問題解答文案
版權(quán)所有：http://trickstime.com (藍(lán)冰科技) 轉(zhuǎn)載請(qǐng)注明出處本文鏈接：http://trickstime.com/newsread.asp?u=102w319w3598t0