注入攻击中的口译员

Question

OWASP对注入攻击的定义是-

注入缺陷(如SQL、OS和LDAP注入)是在将不受信任的数据作为命令或查询的一部分发送到解释器时发生的。攻击者的恶意数据可能欺骗解释器执行意外命令或未经适当授权访问数据。

在每种情况下，解释器意味着什么(LDAP、OS、SQL等)？所有类型的注入攻击(如XML、XPath、HTTP等)都需要解释器吗？

Answer 1

是的，代码注入攻击的本质是攻击者欺骗应用程序运行一些不属于该应用程序预期功能的代码语句。

这意味着必须有某种机制来解析和执行攻击者有效负载中包含的恶意代码，然后应用程序的所有者才能阻止它。

理论上，应用程序可以编译代码并自动运行，但是这种类型的攻击更常见的是使用未编译但在运行时被解释的恶意代码。

您的其他示例XML、XPath、HTTP通常不与代码注入相关联。

• XML不是代码，而是一种数据格式。
• HTTP不是代码，而是协议。
• XPath有点像代码，但它是一种非常特殊的代码类型。它是一种表达式语言，用于标识XML文档中的元素。它的能力有限，所以它不是代码注入攻击的通用载体。