防止 SSI 注入是否容易?

信息安全 注射 验证
2021-08-27 04:52:50

据我所知,SSI 注入是将命令注入用户输入字段的过程,例如

<!--#exec cmd="ls" -->

获取当前目录中的文件。然而,虽然看起来很强大,但通过简单地验证输入字段来防止它似乎也非常容易。例如,可以只检查任何输入字段中的前三个字符是否是<!-并阻止此类输入。

我在这里缺少什么吗?什么时候不容易防止 SSI 注入?我是网络安全的新手,所以请原谅上一段中可能存在的任何误解。

1个回答

这不是一个非常难以预防的攻击。我会说预防与开发人员的安全意识有关,而不是与预防的复杂性有关。这实际上适用于许多安全漏洞。

回答你的问题 - 不,我认为你没有遗漏任何东西。这只是确保开发人员在实现使用 SSI 的功能时考虑安全性的问题。

其它你可能感兴趣的问题
上一篇通用异常消息是否会被视为安全风险? 下一篇如何在运行 mbed TLS 的 ESP8266 上加快慢速 TLS 握手?