2021CISP-PTE知識類:Web安全(3.2)

2021CISP-PTE（注冊滲透測試工程師）考試內(nèi)容以考試大綱為基礎(chǔ)，如有考生想要參加并獲得CISP-PTE認(rèn)證，建議先了解考綱，下文就是小編整理的CISP-PTE知識類:Web安全(3.2)，可供考生參考。

3.2 知識體：注入漏洞

圖 3-2：知識體：注入漏洞

3.2.1 知識域：SQL 注入

所謂 SQL 注入，就是通過把 SQL 命令插入到 Web 表單提交或輸入域名或頁面請求的查詢字符串，最終達(dá)到欺騙服務(wù)器執(zhí)行指定的 SQL 語句。具體來說，它是利用現(xiàn)有應(yīng)用程序，將 SQL 語句注入到后臺數(shù)據(jù)庫引擎執(zhí)行的能力，它可以通過在 Web 表單中輸入 SQL 語句得到一個(gè)存在安全漏洞的網(wǎng)站上的數(shù)據(jù)，而不是按照設(shè)計(jì)者意圖去執(zhí)行 SQL 語句。

知識子域：SQL 注入的概念

了解 SQL 注入漏洞原理

了解 SQL 注入漏洞對于數(shù)據(jù)安全的影響

掌握 SQL 注入漏洞的方法

知識子域：SQL 注入的類型

了解常見數(shù)據(jù)庫的 SQL 查詢語法

掌握 MSSQL,MYSQL,ORACLE 數(shù)據(jù)庫的注入方法

掌握 SQL 注入漏洞的類型

知識子域：SQL 注入的安全防護(hù)

掌握 SQL 注入漏洞修復(fù)和防范方法

掌握一些 SQL 注入漏洞檢測工具的使用方法

3.2.2 知識域：XML 注入

XML 外部實(shí)體注入(XML External Entity)，XML 用于標(biāo)記電子文件使其具有結(jié)構(gòu)性的標(biāo)記語言，可以用來標(biāo)記數(shù)據(jù)、定義數(shù)據(jù)類型，是一種允許用戶對自己的標(biāo)記語言進(jìn)行定義的源語言。XML 文檔結(jié)構(gòu)包括 XML 聲明、DTD 文檔類型定義(可選)、文檔元素。當(dāng)允許引用外部實(shí)體時(shí)，通過構(gòu)造惡意內(nèi)容，可導(dǎo)致讀取任意文件、執(zhí)行系統(tǒng)命令、探測內(nèi)網(wǎng)端口等危害。

知識子域：XML 注入概念

了解什么是 XML 注入漏洞

了解 XML 注入漏洞產(chǎn)生的原因

知識子域：XML 注入漏洞檢測與防護(hù)

掌握 XML 注入漏洞的利用方式

掌握如何修復(fù) XML 注入漏洞

3.2.3 知識域：代碼注入

知識子域：遠(yuǎn)程文件包含漏洞(RFI)

即服務(wù)器通過 PHP 的特性(函數(shù))去包含任意文件時(shí)，由于要包含的這個(gè)文件來源過濾不嚴(yán)格，從而可以去包含一個(gè)惡意文件，攻擊者就可以遠(yuǎn)程構(gòu)造一個(gè)特定的惡意文件達(dá)到攻擊目的。

了解什么是遠(yuǎn)程文件包含漏洞。

了解遠(yuǎn)程文件包含漏洞所用到的函數(shù)。

掌握遠(yuǎn)程文件包含漏洞的利用方式。

掌握遠(yuǎn)程文件包含漏洞代碼審計(jì)方法。

掌握修復(fù)遠(yuǎn)程文件包含漏洞的方法。

知識子域：本地文件包含漏洞(LFI)

文件包含漏洞的產(chǎn)生原因是 PHP 語言在通過引入文件時(shí)，引用的文件名，用戶可控，由于傳入的文件名沒有經(jīng)過合理的校驗(yàn)，或者校驗(yàn)被繞過，從而操作了預(yù)想之外的文件，就可能導(dǎo)致意外的文件泄露甚至惡意的代碼注入。當(dāng)被包含的文件在服務(wù)器本地時(shí)，就形成的本地文件包含漏洞。了解 PHP 腳本語言本地文件包含漏洞形成的原因，通過代碼審計(jì)可以找到漏洞，并且會修復(fù)該漏洞。

了解什么是本地文件包含漏洞。

了解本地文件包含漏洞產(chǎn)生的原因。

掌握本地文件包含漏洞利用的方式。

了解 PHP 語言中的封裝協(xié)議。

掌握本地文件包含漏洞修復(fù)方法。

知識子域：命令執(zhí)行漏洞(Command Injection)

Command Injection，即命令注入攻擊，是指這樣一種攻擊手段，黑客通過把 HTML 代碼輸入一個(gè)輸入機(jī)制(例如缺乏有效驗(yàn)證限制的表格域)來改變網(wǎng)頁的動(dòng)態(tài) 生成的內(nèi)容。使用系統(tǒng)命令是一項(xiàng)危險(xiǎn)的操作，尤其在你試圖使用遠(yuǎn)程數(shù)據(jù)來構(gòu)造要執(zhí)行的命令時(shí)更是如此。如果使用了被污染數(shù)據(jù)，命令注入漏洞就產(chǎn)生了。

了解什么是命令注入漏洞。

了解命令注入漏洞對系統(tǒng)安全產(chǎn)生的危害。

掌握腳本語言中可以執(zhí)行系統(tǒng)命令的函數(shù)。

了解第三方組件存在的代碼執(zhí)行漏洞，如 struts2。

掌握命令注入漏洞的修復(fù)方法。

更多備考信息盡在希賽網(wǎng)CISP頻道-考試輔導(dǎo)欄目，敬請期待……