一个没有明确接收用户输入的程序会被黑吗?
一个没有明确接收用户输入的程序会被黑吗?
提问于 2020-01-03 00:14:44
我正在学习安全性,似乎我看到的所有安全问题都来自恶意参与者的输入。
我被告知,可以检查程序中是否存在bug,但不可能检查程序是否有任何bug。因此,这意味着不可能证明程序是100%安全的(如果我错了,请纠正我)。
所以我在想,一个程序是否有可能在不直接接受用户输入的情况下被黑客攻击呢?
所谓黑客,我的意思是让程序做一些它设计不想做的事情。
例如:以某种方式强迫程序以其他方式接收用户输入,即使实际的程序代码不接受用户输入。
或者颠覆一个简单Hello程序的执行并让它执行一个shell。
是否有可能创建一个程序,该程序不显式地接受用户输入,但仍然可以被黑?
回答 2
Security用户
回答已采纳
发布于 2020-01-03 00:52:13
简短的回答:是的,DLL路径高举。
长答案:虽然程序可能没有明确要求用户输入,但操作系统为该程序提供了运行资源。因此攻击者可以针对该程序、为该程序准备的资源或该程序与其他必要组件之间的交互。
Security用户
发布于 2020-01-03 07:29:10
关键是,程序必须接受用户的输入。编写一个不需要输入且不能被“黑”的程序非常容易: Hello就是一个例子。
但是要执行任何有用的功能,程序必须处理外部提供的数据。所有这些数据都被认为是“用户输入”,因为攻击者可以操纵它,使程序做不想要的事情。
页面原文内容由Security提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://security.stackexchange.com/questions/223602
复制相关文章
相似问题
腾讯云开发者
