2.1 注入类漏洞 (Injection)

文档摘要

2.1 注入类漏洞 (Injection) 2.1 注入类漏洞 (Injection) 注入类漏洞是 Web 应用中最古老、最普遍且危害最严重的一类漏洞。其核心原理在于，攻击者通过在应用程序的输入接口提交恶意的、精心构造的数据，使得这些数据被应用程序当作代码或命令来执行，从而控制应用程序的行为或获取未授权的访问权限。简单来说，就是攻击者的数据“注入”到了应用程序原本要执行的代码或命令中，改变了其原有逻辑。这类漏洞的根本原因在于应用程序在处理用户输入时，没有严格区分用户输入的数据与程序自身的代码或命令，或者没有对用户输入进行充分的验证、过滤或转义，便将其直接拼接到要执行的指令中。