В этом модуле мы рассмотрим A03:2021 — Injection (Инъекции). Модуль представлен в виде сочетания видео, текста и вопросов для рефлексии, чтобы обозначить несколько важных концепций, связанных с этой уязвимостью, и показать, как наиболее эффективно применять эти знания в вашей работе.
После завершения этого модуля слушатели смогут:
Для наилучшего обучения мы рекомендуем сначала посмотреть видеочасть модуля, а затем прочитать сопроводительные текстовые разделы.
В конце каждого модуля мы добавили вопросы для рефлексии, чтобы помочь слушателям закрепить (вспомнить и применить) основные идеи, которые мы рассмотрели, и понять, как лучше использовать их в нашей повседневной работе.
Категория A03:2021 — Injection (Инъекции) охватывает множество типов уязвимостей. Как правило, такие уязвимости возникают, когда приложения обрабатывают ввод, предоставленный пользователем, без какой-либо фильтрации или очистки (sanitization). Если затем приложение использует этот пользовательский ввод таким образом, что он интерпретируется или выполняется, система воспринимает его как инструкцию и выполняет соответствующее действие. Такое действие не соответствует предполагаемой функциональности и, как правило, носит вредоносный характер.
К уязвимостям, относящимся к категории A03:2021 — Injection, относятся:
Хотя у всех этих уязвимостей общий корень проблемы, технические детали каждой из них различаются. SQL-инъекция (SQLi) — одна из самых распространённых и опасных уязвимостей веб-приложений. Поэтому в дальнейших материалах этого модуля мы сосредоточимся именно на этом типе инъекций.