【技术实现步骤摘要】
本专利技术涉及信息安全,具体涉及一种api注入攻击识别方法及装置。
技术介绍
1、xpath注入是一种通过操控应用程序生成的xpath查询,来操纵和访问本应受保护的xml数据的攻击方式,xpath是用于查询xml文档的语言,类似于sql在关系数据库中的作用。攻击者通过向api或web应用提交恶意的xpath表达式,来绕过身份验证、获取敏感数据,甚至修改xml文档中的数据。
2、xpath注入与sql注入类似,都是通过构造恶意输入来操纵数据查询和结果,但由于xml和xpath的结构不同,它有一些独特的特点:
3、1、xpath查询不区分数据类型,所有的查询内容都被视为字符串,这意味着在xpath注入中,攻击者无需像sql那样担心数据类型的问题,所有的注入都可以简单地通过构造字符串来完成。
4、2、xpath允许通过表达式进行数据的任意遍历,攻击者可以通过xpath查询结构中的父节点、子节点、兄弟节点等来访问xml文档的不同部分。攻击者可以构造特定的查询来遍历整个xml文档结构,甚至是访问不同节点的内容。
5、3本文档来自技高网...
【技术保护点】
1.一种API注入攻击识别方法,其特征在于,包括:
2.根据权利要求1所述的API注入攻击识别方法,其特征在于,所述对用户输入数据进行字符过滤,包括:
3.根据权利要求1所述的API注入攻击识别方法,其特征在于,对完成字符过滤的用户输入数据进行模式匹配,包括:
4.根据权利要求1所述的API注入攻击识别方法,其特征在于,所述对所述用户输入数据的每个输入字段进行类型约束检测,包括:
5.根据权利要求1所述的API注入攻击识别方法,其特征在于,所述对所述用户输入数据进行语义分析,包括:
6.根据权利要求1所述的A...
【技术特征摘要】
1.一种api注入攻击识别方法,其特征在于,包括:
2.根据权利要求1所述的api注入攻击识别方法,其特征在于,所述对用户输入数据进行字符过滤,包括:
3.根据权利要求1所述的api注入攻击识别方法,其特征在于,对完成字符过滤的用户输入数据进行模式匹配,包括:
4.根据权利要求1所述的api注入攻击识别方法,其特征在于,所述对所述用户输入数据的每个输入字段进行类型约束检测,包括:
5.根据权利要求1所述的api注入攻击识别方法,其特征在于,所述对所述用户输入数据进行语义分析,包括:
6.根据权利要求1所述的api注入攻击识别方法,...
【专利技术属性】
技术研发人员:孙跃,侯聪,董彬,田琪,苏煜粤,李琳,徐小天,
申请(专利权)人:华北电力科学研究院有限责任公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。