(OWASP汉化)攻击系列大全(二十五):自定义特殊字符注入

最近修订日期(年/月/日):12/8/2011

漏洞描述

软件没有正确地将产品所使用的自定义或专有的特殊字符和保留词语进行过滤或转义。这使得攻击者能够在最终系统处理之前对语法、内容和命令进行修改。

风险因素

待定

攻击例示

例一:
一个简单的例子就是一个应用程序,它执行用户在目前终端输入的所有内容,而不对输入内容进行任何的审查或阻挡。如果应用程序没有执行适当的信号处理,我们可能会通过分别发送Ctrl+C(^C)Ctrl+Z(^Z)来中断或者暂停程序。这两个组合键会向程序发送信号——前者是SIGINT 信号,后者是SIGSTOP 信号。

例二:
一个经常被IRC战士/匪徒所使用的经典例子,他们通过发送特殊的字符序列来断开用户的调解器连接。通过任何协议(IP)发送序列“+++ATH0” 使得调解器将其解析为断开命令。因此,要做的事情就是在IRC频道上发送这个序列,迫使易受攻击的调制解调器断开连接。

相关的威胁代理

相关攻击

相关的漏洞

待定

相关控件

参考

待定