《Web漏洞防护》读书笔记——第3章，其他注入防护

命令注入防护

在JAV中，可以使用Runtime.getRuntime().exec()和new ProcessBuilder().start()这两种方式执行系统命令。
防护命令注入，遵循的原则：
1.尽量不要以直接调用系统命令的方式来完成程序的某些功能，选择程序开发语言本身提供的功能。
2.如果必须调用系统命令才能完成某些功能，有限使用固定调用的命令，而非根据用户的输入动态生成的命令。
3.如果需要动态生成系统命令，尽量使用白名单的过滤方式，限制系统命令的调用，白名单的设置不要宽泛，尽可能缩小系统能够调用的命令。
另：一般不使用命令编码的方式进行防护，因为：可以被绕过，不能保证足够的安全性；经过编码的命令可能无法解析，影响程序正常运行。

XML注入

XML注入是将不可信的数据插入到XML文件时，由于未进行严格的校验或编码，造成文件中被插入了一些恶意数据，使的XML文件的结构发生了变化，进而影响应用程序正常工作。
例如源代码中File file=new File(“test.xml”)，之后攻击者尝试将test.xml中的password通过注入的方式传入123456\nadmin\n时，源代码调用test.xml，会造成新增加了一行元素，将普通账户设置成了admin管理员的角色级别。

XML注入的防护

两种方式：
1.使用标准的XML解析库进行XML文件的写操作。
如，使用JAVA自带的DocumentBuilder来重新输出XML文件。
参数中包含的特殊符号被编码后插入到XML文件中，从而避免了XML注入漏洞的发生。

2.将数据插入到XML文件前进行编码。
使用JAVA Encoder或ESAPI对插入到XML文件中的数据进行编码，其中JAVA Encoder比ESAPI有更多的编码方法。
编码方法：
froXmlContent，forXmlAttribute,forXml,forXmlComment,forCDATA

XPATH注入

XPATH是一门在XML文档中查找信息的语言，可以通过元素或属性进行导航，获取节点、节点集合及文本的值。
XPATH注入，是将不可信的数据直接拼接到查询的语句中，造成XML中数据的泄露。

XPATH注入的防护

对插入到语句中的参数进行编码，使用ESAPI中的encodeForXPATH()方法对参数进行编码。

LDAP注入

LDAP是一种轻量级的目录访问协议，主要用于进行目录资源的搜索和查询，基于X.500标准。
LDAP注入也是将不可信的数据插入到查询语句中，从而造成LDAP中的数据泄露问题。

LDAP注入的防护

1.可以通过过滤的方式实现，比如过滤掉可能会改变LDAP查询语句结构的特殊字符，包括&、|、！=、<、>、*、（、）等。

2.还可以通过编码的方式进行防护，如使用ESAPI的encodeForLDAP()方法对查询条件的构建语句进行更改。

JPA注入

JPA是Java Persistence API的简称，用于将JAVA实体对象持久化存储到数据库中，
JPQL用于查询实体对象，查询后返回的内容为实体或实体的属性。
JPA注入也是将不可信的数据插入到查询语句中，从而造成JPA中的数据泄露问题。

JPA注入的防护

1.使用参数绑定的方式来防止注入的产生。
2.使用其他方法直接获取相关结果。如直接通过用户ID获取相关信息，能够对JPA注入进行防护。