2021CISP-PTE知識(shí)類:Web安全(3.2)

2021CISP-PTE（注冊(cè)滲透測(cè)試工程師）考試內(nèi)容以考試大綱為基礎(chǔ)，如有考生想要參加并獲得CISP-PTE認(rèn)證，建議先了解考綱，下文就是小編整理的CISP-PTE知識(shí)類:Web安全(3.2)，可供考生參考。

3.2 知識(shí)體：注入漏洞

圖 3-2：知識(shí)體：注入漏洞

3.2.1 知識(shí)域：SQL 注入

所謂 SQL 注入，就是通過(guò)把 SQL 命令插入到 Web 表單提交或輸入域名或頁(yè)面請(qǐng)求的查詢字符串，最終達(dá)到欺騙服務(wù)器執(zhí)行指定的 SQL 語(yǔ)句。具體來(lái)說(shuō)，它是利用現(xiàn)有應(yīng)用程序，將 SQL 語(yǔ)句注入到后臺(tái)數(shù)據(jù)庫(kù)引擎執(zhí)行的能力，它可以通過(guò)在 Web 表單中輸入 SQL 語(yǔ)句得到一個(gè)存在安全漏洞的網(wǎng)站上的數(shù)據(jù)，而不是按照設(shè)計(jì)者意圖去執(zhí)行 SQL 語(yǔ)句。

知識(shí)子域：SQL 注入的概念

了解 SQL 注入漏洞原理

了解 SQL 注入漏洞對(duì)于數(shù)據(jù)安全的影響

掌握 SQL 注入漏洞的方法

知識(shí)子域：SQL 注入的類型

了解常見數(shù)據(jù)庫(kù)的 SQL 查詢語(yǔ)法

掌握 MSSQL,MYSQL,ORACLE 數(shù)據(jù)庫(kù)的注入方法

掌握 SQL 注入漏洞的類型

知識(shí)子域：SQL 注入的安全防護(hù)

掌握 SQL 注入漏洞修復(fù)和防范方法

掌握一些 SQL 注入漏洞檢測(cè)工具的使用方法

3.2.2 知識(shí)域：XML 注入

XML 外部實(shí)體注入(XML External Entity)，XML 用于標(biāo)記電子文件使其具有結(jié)構(gòu)性的標(biāo)記語(yǔ)言，可以用來(lái)標(biāo)記數(shù)據(jù)、定義數(shù)據(jù)類型，是一種允許用戶對(duì)自己的標(biāo)記語(yǔ)言進(jìn)行定義的源語(yǔ)言。XML 文檔結(jié)構(gòu)包括 XML 聲明、DTD 文檔類型定義(可選)、文檔元素。當(dāng)允許引用外部實(shí)體時(shí)，通過(guò)構(gòu)造惡意內(nèi)容，可導(dǎo)致讀取任意文件、執(zhí)行系統(tǒng)命令、探測(cè)內(nèi)網(wǎng)端口等危害。

知識(shí)子域：XML 注入概念

了解什么是 XML 注入漏洞

了解 XML 注入漏洞產(chǎn)生的原因

知識(shí)子域：XML 注入漏洞檢測(cè)與防護(hù)

掌握 XML 注入漏洞的利用方式

掌握如何修復(fù) XML 注入漏洞

3.2.3 知識(shí)域：代碼注入

知識(shí)子域：遠(yuǎn)程文件包含漏洞(RFI)

即服務(wù)器通過(guò) PHP 的特性(函數(shù))去包含任意文件時(shí)，由于要包含的這個(gè)文件來(lái)源過(guò)濾不嚴(yán)格，從而可以去包含一個(gè)惡意文件，攻擊者就可以遠(yuǎn)程構(gòu)造一個(gè)特定的惡意文件達(dá)到攻擊目的。

了解什么是遠(yuǎn)程文件包含漏洞。

了解遠(yuǎn)程文件包含漏洞所用到的函數(shù)。

掌握遠(yuǎn)程文件包含漏洞的利用方式。

掌握遠(yuǎn)程文件包含漏洞代碼審計(jì)方法。

掌握修復(fù)遠(yuǎn)程文件包含漏洞的方法。

知識(shí)子域：本地文件包含漏洞(LFI)

文件包含漏洞的產(chǎn)生原因是 PHP 語(yǔ)言在通過(guò)引入文件時(shí)，引用的文件名，用戶可控，由于傳入的文件名沒有經(jīng)過(guò)合理的校驗(yàn)，或者校驗(yàn)被繞過(guò)，從而操作了預(yù)想之外的文件，就可能導(dǎo)致意外的文件泄露甚至惡意的代碼注入。當(dāng)被包含的文件在服務(wù)器本地時(shí)，就形成的本地文件包含漏洞。了解 PHP 腳本語(yǔ)言本地文件包含漏洞形成的原因，通過(guò)代碼審計(jì)可以找到漏洞，并且會(huì)修復(fù)該漏洞。

了解什么是本地文件包含漏洞。

了解本地文件包含漏洞產(chǎn)生的原因。

掌握本地文件包含漏洞利用的方式。

了解 PHP 語(yǔ)言中的封裝協(xié)議。

掌握本地文件包含漏洞修復(fù)方法。

知識(shí)子域：命令執(zhí)行漏洞(Command Injection)

Command Injection，即命令注入攻擊，是指這樣一種攻擊手段，黑客通過(guò)把 HTML 代碼輸入一個(gè)輸入機(jī)制(例如缺乏有效驗(yàn)證限制的表格域)來(lái)改變網(wǎng)頁(yè)的動(dòng)態(tài) 生成的內(nèi)容。使用系統(tǒng)命令是一項(xiàng)危險(xiǎn)的操作，尤其在你試圖使用遠(yuǎn)程數(shù)據(jù)來(lái)構(gòu)造要執(zhí)行的命令時(shí)更是如此。如果使用了被污染數(shù)據(jù)，命令注入漏洞就產(chǎn)生了。

了解什么是命令注入漏洞。

了解命令注入漏洞對(duì)系統(tǒng)安全產(chǎn)生的危害。

掌握腳本語(yǔ)言中可以執(zhí)行系統(tǒng)命令的函數(shù)。

了解第三方組件存在的代碼執(zhí)行漏洞，如 struts2。

掌握命令注入漏洞的修復(fù)方法。

更多備考信息盡在希賽網(wǎng)CISP頻道-考試輔導(dǎo)欄目，敬請(qǐng)期待……