• 我的订阅
  • 科技

软件开发中的注入攻击

类别:科技 发布时间:2022-12-27 13:40:00 来源:卓越科技

对于从事或涉及软件开发或软件工程领域的人士来说,在信息技术安全方面会遇到哪些攻击呢?

一个常见的可能发生在软件开发中的安全漏洞,并在网络上肆虐,便是攻击者注入恶意代码。我们将这一类型的攻击称之为注入攻击(InjectionAttack)

注入攻击是如何执行的:

想象一下,如果要让一辆车跑起来,我们需要给它加油,要是有人对这车进行恶意的操作,那么可以在汽车的油箱中添加其他的杂质,从而使车无法正常运行。在应对这种情况时,我们可以给车辆添加一个机制,就是它仅能接受汽油这类的燃料,而非其他液体,当然这是一种假设的方法。

同理,网页中出现的注入攻击也可能是以这种类似的方式执行恶意攻击的。注入攻击可以通过良好的软件开发规则来尽可能规避或者缓解,比如输入验证和数据清理。

软件开发中的注入攻击

跨站脚本攻击(Cross-siteScripting/XSSAttack)是注入攻击的一种,攻击者可以插入恶意代码并直指所服务的用户。

XSS攻击是实现会话劫持(sessionhijacking)的常用方法。这就像在网站中嵌入恶意脚本一样简单,用户在浏览器中不知不觉地执行脚本,然后该脚本可以做一些恶意的行为,比如窃取受害者的Cookie,并登录网站。

SQL注入攻击是另一形式,与针对用户的XSS不同,如果网站使用SQL数据库,则SQL注入攻击针对整个网站。攻击者可能会运行SQL命令,这些命令允许他们删除网站数据、复制网站数据以及运行其他恶意命令。

软件开发中的注入攻击

以上内容为资讯信息快照,由td.fyun.cc爬虫进行采集并收录,本站未对信息做任何修改,信息内容不代表本站立场。

快照生成时间:2022-12-27 15:45:12

本站信息快照查询为非营利公共服务,如有侵权请联系我们进行删除。

信息原文地址:

Check Point:如何通过SASE构筑抵御勒索软件攻击的第一道防线
...了勒索软件的威胁,62.9% 的勒索软件受害者支付了赎金。攻击者使用各种技术和工具入侵网络、应用及计算机,企图索取高额赎金。同年,包括英伟达、丰田以及法拉利等知名品牌均宣布遭
2023-08-09 12:00:00
微软VSCode 现恶意扩展,已被下载近5万次
...场中删除了这3个恶意扩展。但任何仍在使用恶意扩展的软件开发人员必须手动将它们从系统中删除,并运行完整扫描以检测感染的任何残余
2023-05-18 18:18:00
macos和windows用户面临的网络安全风险差异
...报告,macOS和Windows用户所面临的网络安全风险存在差异,攻击者针对两个平台采取了不同的攻击策略。攻击者已经放弃了诸如在Word文档中嵌入恶意的宏代码
2023-02-23 12:34:00
开源软件对网络安全的影响
...批准的访问权限。缺乏验证。不能保证合格的专家在开源软件开发中执行充分的测试和质量保证,也不能保证审查代码的人员会仔细评估其安全性。缺乏确认会使您的计算机基础架构容易受到攻击在
2022-12-27 09:07:00
“二次约会”间谍软件分析报告:网络攻击西北工业大学 美国相关人员真实身份被锁定
...由器等网关设备平台,可实现网络流量窃听劫持、中间人攻击、插入恶意代码等恶意功能,从而与其它“间谍”软件配合完成复杂的网络“间谍”活动。根据“影子经纪人”泄露的NSA内部文件,
2023-09-14 10:05:00
xloader恶意软件卷土重来,可窃取mac用户敏感信息
在2021年曾被称为“第四大恶意攻击”的XLoader正卷土重来,不仅破坏力升级,而且伪装能力进一步增强,macOS用户更容易中招
2023-08-22 23:13:00
安卓恶意银行软件xenomorph再度袭来
...软件的破坏力要强得多。该恶意软件的主要是使用覆盖式攻击来窃取用户银行和加密软件的用户凭证,然后将其返回服务器,最终盗取用户的钱财。从那时起,Xenomorph就经历了多次更新
2023-09-27 04:22:00
多个游戏开发者的 Steam 账户最近遭到入侵
...们发现最近针对Steam上已发布游戏的开发者账户的“复杂攻击”有所增加。未来,Steam开发者在向公司组群添加新用户时也将需要进行短信双重验证。V社表示计划未来将在其他Ste
2023-10-12 20:38:00
“数字”间谍来自何处?有何招式?国家安全部披露
...维护我网络安全,让“数字”间谍原形毕露、无处藏身!攻击来自何处?千里之外的重重谍影当前,网络空间已经成为境外间谍情报机关对我国开展网络间谍工作的重要阵地,我国已成为高级别持续
2023-09-14 10:05:00
更多关于科技的资讯: