注入攻击是什么意思？注入攻击的主要载体

注入攻击是什么意思？

注入攻击利用各种漏洞直接将恶意输入插入 Web 应用程序的代码中。成功的攻击可能会泄露敏感信息、执行 DoS 攻击或危及整个系统。

以下是注入攻击的主要载体：

1、SQL 注入 - 攻击者将 SQL 查询输入到最终用户输入通道，例如 Web 表单或评论字段。易受攻击的应用程序会将攻击者的数据发送到数据库，并执行已注入查询的任何 SQL 命令。大多数 Web 应用程序使用基于结构化查询语言 (SQL) 的数据库，因此容易受到 SQL 注入攻击。这种攻击的一种新变体是

2、NoSQL 攻击，针对不使用关系数据结构的数据库。
代码注入 - 如果应用程序易受攻击，攻击者可以将代码注入应用程序。Web 服务器会像执行应用程序的一部分一样执行恶意代码。

3、操作系统命令注入 - 攻击者可以利用命令注入漏洞输入操作系统要执行的命令。这允许攻击窃取操作系统数据或接管系统。

4、LDAP 注入 - 攻击者输入字符来更改轻量级目录访问协议 (LDAP) 查询。如果系统使用未清理的 LDAP 查询，则容易受到攻击。这些攻击非常严重，因为 LDAP 服务器可能会存储整个组织的用户帐户和凭据。

5、XML 外部实体 (XXE) 注入 - 使用专门构造的 XML 文档进行攻击。这与其他攻击媒介不同，因为它利用的是旧式 XML 解析器中固有的漏洞，而不是未经验证的用户输入。XML 文档可用于遍历路径、远程执行代码和执行服务器端请求伪造 (SSRF)。

6、跨站点脚本 (XSS) - 攻击者输入包含恶意 JavaScript 的文本字符串。目标浏览器执行该代码，使攻击者能够将用户重定向到恶意网站或窃取会话 cookie 以劫持用户的会话。如果应用程序没有清理用户输入以删除 JavaScript 代码，则容易受到 XSS 攻击。