WEB攻击字符
【摘要】 结合其他文章,需要针对一些web攻击进行字符过滤、转码。做一个总结特殊字符特殊字符SQL注入攻击XSS命令注入文件包含攻击XXEURL编码攻击CSV注入,需过滤 . 需过滤 ? !需过滤 需过滤 : ;需过滤 需过滤需过滤 "需过滤需过滤 需过滤 '需过滤需过滤 需过滤 (需过滤需过滤需过滤 )需过滤需过滤需过滤 [需过...
结合其他文章,需要针对一些web攻击进行字符过滤、转码。做一个总结
特殊字符
| 特殊字符 | SQL注入攻击 | XSS | 命令注入 | 文件包含攻击 | XXE | URL编码攻击 | CSV注入 |
| , | 需过滤 | ||||||
| . | 需过滤 | ||||||
| ? | |||||||
| ! | 需过滤 | 需过滤 | |||||
| : | |||||||
| ; | 需过滤 | 需过滤 | 需过滤 | ||||
| " | 需过滤 | 需过滤 | 需过滤 | ||||
| ' | 需过滤 | 需过滤 | 需过滤 | ||||
| ( | 需过滤 | 需过滤 | 需过滤 | ||||
| ) | 需过滤 | 需过滤 | 需过滤 | ||||
| [ | 需过滤 | ||||||
| ] | |||||||
| { | |||||||
| } | |||||||
| < | 需过滤 | 需过滤 | 需过滤 | 需过滤 | |||
| > | 需过滤 | 需过滤 | 需过滤 | 需过滤 | |||
| - | 需过滤 | 需过滤 | |||||
| _ | 需过滤 | ||||||
| / | 需过滤 | 需过滤 | 需过滤 | 需过滤 | 需过滤 | 需过滤 | |
| \ | 需过滤 | 需过滤 | 需过滤 | ||||
| | | 需过滤 | 需过滤 | |||||
| @ | 需过滤 | 需过滤 | |||||
| # | |||||||
| $ | 需过滤 | ||||||
| % | 需过滤 | 需过滤 | |||||
| ^ | 需过滤 | ||||||
| & | 需过滤 | 需过滤 | 需过滤 | ||||
| * | 需过滤 | ||||||
| + | 需过滤 | 需过滤 | 需过滤 | ||||
| = | 需过滤 | 需过滤 | 需过滤 | ||||
| ~ | 需过滤 | ||||||
| ` | 需过滤 | ||||||
| 空格 | 需过滤 | 需过滤 | |||||
| 换行 | 需过滤 |
特殊情况
全角、半角
针对一些攻击场景,例如csv攻击场景,但是大多数文章比让过滤半角字符,会忽略掉全角的情况,但是全角在特殊情况下也会触发攻击。
例如:半角+-=@
全角+-=@
可以看到两者的占位长度并不相同。所以实际是完全的两个不同字符。
回车/换行符
源自于二战中美国使用的打字机,电子计算机问世后,这两个概念也同时被引入。因为存储器很贵,一些科学家认为在每行结尾加两个字符太浪费了,加一个就够了。从此,计算机界就出现了分歧:
-
微软Windows系统:每行结尾有“<回车><换行>”,即“\r\n”
-
Unix/Linux系统: 每行结尾只有“<换行>”,即"\n"
-
苹果Mac系统: 每行结尾只有“<回车>”,即"\r"
【声明】本内容来自华为云开发者社区博主,不代表华为云及华为云开发者社区的观点和立场。转载时必须标注文章的来源(华为云社区)、文章链接、文章作者等基本信息,否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱:
cloudbbs@huaweicloud.com
- 点赞
- 收藏
- 关注作者
评论(0)