### ä½ äº†è§£ Java 应用开å‘ä¸çš„注入攻击å—? 注入å¼ï¼ˆInject)攻击是一类éžå¸¸å¸¸è§çš„攻击方å¼ï¼Œå…¶åŸºæœ¬ç‰¹å¾æ˜¯ç¨‹åºå…许攻击者将ä¸å¯ä¿¡çš„动æ€å†…容注入到程åºä¸ï¼Œå¹¶å°†å…¶æ‰§è¡Œï¼Œè¿™å°±å¯èƒ½å®Œå…¨æ”¹å˜æœ€åˆé¢„计的执行过程,产生æ¶æ„效果。 下é¢æ˜¯å‡ ç§ä¸»è¦çš„注入å¼æ”»å‡»é€”径,原则上æ供动æ€æ‰§è¡Œèƒ½åŠ›çš„è¯è¨€ç‰¹æ€§ï¼Œéƒ½éœ€è¦æ防å‘生注入攻击的å¯èƒ½ã€‚ 首先,就是最常è§çš„ SQL 注入攻击。一个典型的场景就是 Web ç³»ç»Ÿçš„ç”¨æˆ·ç™»å½•åŠŸèƒ½ï¼Œæ ¹æ®ç”¨æˆ·è¾“入的用户å和密ç ,我们需è¦åŽ»åŽç«¯æ•°æ®åº“æ ¸å®žä¿¡æ¯ã€‚ å‡è®¾åº”用逻辑是,åŽç«¯ç¨‹åºåˆ©ç”¨ç•Œé¢è¾“入动æ€ç”Ÿæˆç±»ä¼¼ä¸‹é¢çš„ SQL,然åŽè®© JDBC 执行。 ``` Select * from use_info where username = “input_usr_name†and password = “input_pwd†``` 但是,如果我输入的 input_pwd 是类似下é¢çš„文本, ``` “ or “â€=†``` 那么,拼接出的 SQL å—符串就å˜æˆäº†ä¸‹é¢çš„æ¡ä»¶ï¼ŒOR çš„å˜åœ¨å¯¼è‡´è¾“入什么åå—都是å¤åˆæ¡ä»¶çš„。 ``` Select * from use_info where username = “input_usr_name†and password = Ҡor Ҡ= Ҡ``` 这里åªæ˜¯ä¸¾ä¸ªç®€å•çš„例å,它是利用了期望输入和å¯èƒ½è¾“入之间的å差。上é¢ä¾‹åä¸ï¼ŒæœŸæœ›ç”¨æˆ·è¾“入一个数值,但实际输入的则是 SQL è¯å¥ç‰‡æ®µã€‚类似场景å¯ä»¥åˆ©ç”¨æ³¨å…¥çš„ä¸åŒ SQL è¯å¥ï¼Œè¿›è¡Œå„ç§ä¸åŒç›®çš„的攻击,甚至还å¯ä»¥åŠ 上“;delete xxxâ€ä¹‹ç±»è¯å¥ï¼Œå¦‚果数æ®åº“æƒé™æŽ§åˆ¶ä¸åˆç†ï¼Œæ”»å‡»æ•ˆæžœå°±å¯èƒ½æ˜¯ç¾éš¾æ€§çš„。 第二,æ“作系统命令注入。Java è¯è¨€æ供了类似 Runtime.exec(…) çš„ API,å¯ä»¥ç”¨æ¥æ‰§è¡Œç‰¹å®šå‘½ä»¤ï¼Œå‡è®¾æˆ‘们构建了一个应用,以输入文本作为å‚数,执行下é¢çš„命令: ``` ls –la input_file_name ``` 但是如果用户输入是 “input_file_name;rm –rf /*â€ï¼Œè¿™å°±æœ‰å¯èƒ½å‡ºçŽ°é—®é¢˜äº†ã€‚当然,这åªæ˜¯ä¸ªä¸¾ä¾‹ï¼ŒJava æ ‡å‡†ç±»åº“æœ¬èº«è¿›è¡Œäº†éžå¸¸å¤šçš„改进,所以类似这ç§ç¼–程错误,未必å¯ä»¥çœŸçš„完æˆæ”»å‡»ï¼Œä½†å…¶åæ˜ çš„ä¸€ç±»åœºæ™¯æ˜¯çœŸå®žå˜åœ¨çš„。 第三,XML 注入攻击。Java æ ¸å¿ƒç±»åº“æ供了全é¢çš„ XML 处ç†ã€è½¬æ¢ç‰å„ç§ API,而 XML 自身是å¯ä»¥åŒ…å«åŠ¨æ€å†…容的,例如 XPATH,如果使用ä¸å½“,å¯èƒ½å¯¼è‡´è®¿é—®æ¶æ„内容。 还有类似 LDAP ç‰å…许动æ€å†…容的å议,都是å¯èƒ½åˆ©ç”¨ç‰¹å®šå‘½ä»¤ï¼Œæž„é€ æ³¨å…¥å¼æ”»å‡»çš„,包括 XSS(Cross-site Scripting)攻击,虽然并ä¸å’Œ Java 直接相关,但也å¯èƒ½åœ¨ JSP ç‰åŠ¨æ€é¡µé¢ä¸å‘生。