攻击数据存储
几乎所有应用程序都依赖数据存储区来管理在应用程序中处理的数据。在许多情况下,这些数据负责处理核心应用程序逻辑、保存用户账户、权限。应用程序配置设置等。现在数据存储区已不再是被动的数据容器。大多数数据存储区都保存有结构化、可以使用预先定义的查询格式或语言访问的数据,并包含内部逻辑来管理这些数据。
通常,应用程序使用常用的权限级别来管理对数据存储区的各种访问操作,以及处理属于不同应用程序用户的数据。如果攻击者能够破坏应用程序与数据存储区的交互,使应用程序检索或修改各种数据,那么,攻击者就可以避开在应用层次对数据访问实施的任何控制。
注入解释性语言
注入SQL
注入NoSQL
注入XPath
注入LDAP