不适当的输入验证
不适当输入验证(Improper input validation)[1]或未检查用户输入(unchecked user input)是软件中可能会被利用的漏洞[2]。此漏洞是指“程序没有验证(或是以不正确方式验证)可能会影响程序资料流或是控制流的输入。”[1]
例子包括有:
- 缓冲区溢出:在缓冲区写入超过缓冲区大小的资料,因此覆盖到其他的记亿体。
- 跨网站脚本:在网页中注入恶意的代码,其他人阅读网站时会受到影响。
- 目录遍历:利用程序的缺陷,可以存取授权目录以外的目录。
- 空字符注入
- SQL注入:在输入字符串中架带SQL指令,使程序执行这些SQL指令。
- 不受控格式化字符串:利用printf中的格式化字符串,读取其他位置的资料。
参考资料
- ^ 1.0 1.1 CWE-20: Improper Input Validation. Common Weakness Enumeration. MITRE. 2010-12-13 [2011-02-22]. (原始内容存档于2011-07-23).
- ^ Erickson, Jon. Hacking: the art of exploitation. No Starch Press Series 2, illustrated. Safari Books Online. 2008. ISBN 978-1-59327-144-2.