许多现代网络编写语言都能够在一个封装的文件内包含附加的源文件，从而使代码可以重用和模块化。这种能力经常用于赋予应用程序标准外观（应用模板），因而，人们可以共享各种功能而不需要借助编译的代码，或将代码分解成较小的更好管理的文件。各个包含文件都会作为主文件的一部分进行解析，并采用相同的方式来执行。当未验证的用户输入控制了所包含文件的路径时，就会发生 File inclusion 漏洞。

示例 1：以下代码会采用用户指定的模板名称，并将该名称包含在所呈现的 HTML 页面中。

...
ClientScript.RegisterClientScriptInclude("RequestParameterScript", HttpContext.Current.Request.Params["includedURL"]);
...

在Example 1 中，攻击者可通过为 includedURL 提供恶意值来完全控制动态 include 语句，从而会使程序包含来自外部站点的文件。

如果攻击者为动态 include 指令指定一个有效文件，.NET 会将该文件的内容插入发送给用户的 HTML 文件。对于一个纯文本文件来说，如 web.config，该文件可能会作为 HTML 输出的一部分来呈现。更为糟糕的是，如果攻击者可以指定一条路径来指向被自己控制的远程站点，那么动态 include 指令就会执行由攻击者提供的任意恶意代码。

许多现代网络编写语言都能够在一个封装的文件内包含附加的源文件，从而使代码可以重用和模块化。这种能力经常用于赋予应用程序标准外观（应用模板），因而，人们可以共享各种功能而不需要借助编译的代码，或将代码分解成较小的更好管理的文件。各个包含文件都会作为主文件的一部分进行解析，并采用相同的方式来执行。当未验证的用户输入控制了所包含文件的路径时，就会发生 File inclusion 漏洞。

File inclusion 漏洞是各种 PHP 应用程序中最多见且最为严重的漏洞。在低于 PHP 4.2.0 的版本中，PHP 的安装包附带了默认启用的 register_globals，从而使攻击者很容易重写内部服务器的各种变量。尽管禁用 register_globals 可以从一定程度上减少程序发生 file inclusion 漏洞的风险，但是这些问题仍然存在于各种现代的 PHP 应用程序中。

例 1：以下代码包含了一个文件，该文件位于模板中定义 $server_root 的应用程序下。

...
<?php include($server_root . '/myapp_header.php'); ?$gt;
...

如果将 register_globals 设置为 on，攻击者可以通过提供 $server_root 请求参数覆盖 $server_root 值，从而部分控制动态 include 指令。

例 2：以下代码采用了用户指定的模板名称，并将该名称包含在要呈现的 PHP 页面中。

...
<?php include($_GET['headername']); ?$gt;
...

在Example 2 中，攻击者可通过为 headername 提供恶意值来完全控制动态 include 语句，从而会使程序包含来自外部站点的文件。

如果攻击者给动态 include 指令指定有效文件，该文件的内容将被传送到 PHP 解释器。对于一个纯文本文件来说，如 /etc/shadow，该文件可能会作为 HTML 输出的一部分来呈现。更为糟糕的是，如果攻击者可以指定一条路径来指向被自己控制的远程站点，那么动态 include 指令就会执行由攻击者提供的任意恶意代码。

攻击者可能通过对应用程序发送大量请求，而使它拒绝对合法用户的服务，但是这种攻击形式经常会在网络层就被排除掉了。更加严重的是那些只需要使用少量请求就可以使得攻击者让应用程序过载的 bug。通过这类 bug，攻击者可指定请求使用的系统资源数量，或者持续使用这些系统资源的时间，从而导致资源耗尽的情况发生。

示例 1：通过以下代码，用户可以指定当前工作进程处于休眠状态的时长。通过指定一个较大的数值，攻击者可以无限期地占用该工作进程。

...
CALL FUNCTION 'ENQUE_SLEEP'
  EXPORTING
    SECONDS = usrInput.
...

基于客户端的 IP 地址创建 RateLimitPartitions 会使应用程序容易受到采用 IP 源地址欺骗的拒绝服务 (DDoS) 攻击。

示例 1：在以下示例中，GetTokenBucketLimiter() 方法在创建 RateLimitPartition 时使用远程 IP 地址 (RemoteIpAddress) 作为分区键：

...
builder.Services.AddRateLimiter(limiterOptions => {
    limiterOptions.GlobalLimiter = PartitionedRateLimiter.Create<HttpContext, IPAddress>(context => {

        IPAddress? ip = context.Connection.RemoteIpAddress;

        return RateLimitPartition.GetTokenBucketLimiter(ip!, _ =>
            new TokenBucketRateLimiterOptions
            {
                TokenLimit = 7
            });
    });
});
...

攻击者可能通过对应用程序发送大量请求，而使它拒绝对合法用户的服务，但是这种攻击形式经常会在网络层就被排除掉了。更加严重的是那些只需要使用少量请求就可以使得攻击者让应用程序过载的 bug。这种 bug 允许攻击者去指定请求使用系统资源的数量，或者是持续使用这些系统资源的时间。

示例 1：以下代码允许用户指定当前进程处于休眠状态的时长。通过指定一个较大的数字，攻击者便可以无限期地阻碍进程。

  unsigned int usrSleepTime = uatoi(usrInput);
  sleep(usrSleepTime);

攻击者可能通过对应用程序发送大量请求，而使它拒绝对合法用户的服务，但是这种攻击形式经常会在网络层就被排除掉了。更加严重的是那些只需要使用少量请求就可以使得攻击者让应用程序过载的 bug。这种 bug 允许攻击者去指定请求使用系统资源的数量，或者是持续使用这些系统资源的时间。

示例 1：通过以下代码，用户可以指定线程处于休眠状态的时长。通过指定一个较大的数值，攻击者可以无限期地占用该线程。因此，只需少量的请求，攻击者就能耗尽应用程序的线程池。

Sleep(url.duration);

攻击者可能向应用程序发送大量请求，促使应用程序拒绝向合法用户提供服务，但通常可以在网络层化解泛洪攻击。如果存在 Bug，情况将变得更加糟糕，攻击者通过少量请求即可引发应用程序过载。攻击者可以通过此类 Bug 指定请求消耗的系统资源量或资源使用持续时间。

示例 1：以下代码允许用户指定 Future 函数的执行时间。如果指定较大的数字，则攻击者可能会无限期地占用 Future 函数。

  final duration = Platform.environment['DURATION'];
  Future.delayed(Duration(seconds: int.parse(duration!)), () => ...);

攻击者可能向应用程序发送大量请求，促使应用程序拒绝向合法用户提供服务，但通常可以在网络层化解泛洪攻击。如果存在 Bug，情况将变得更加糟糕，攻击者通过少量请求即可引发应用程序过载。攻击者可以通过此类 Bug 指定请求消耗的系统资源量或资源使用持续时间。

示例 1：如果攻击者设置了较大的值，使用不受信任的数据设置服务超时可能会导致服务无响应。

func test(r *http.Request) {
  ...
  i, _ := strconv.Atoi(r.FormValue("TIME"))
  runtime.KeepAlive(i)
  ...
  }

攻击者可能通过对应用程序发送大量请求，而使它拒绝对合法用户的服务，但是这种攻击形式经常会在网络层就被排除掉了。更加严重的是那些只需要使用少量请求就可以使得攻击者让应用程序过载的 bug。这种 bug 允许攻击者去指定请求使用系统资源的数量，或者是持续使用这些系统资源的时间。

示例 1：以下代码允许用户指定要使用的 file system 大小。通过指定一个较大的数字，攻击者可以耗尽 file system 资源。

  var fsync = requestFileSystemSync(0, userInput);

示例 2：下列代码会写入一个文件。由于在用户代理将此文件视为已关闭之前，此文件可能会持续写入和重写，因此磁盘配额、IO 带宽和可能需要分析此文件内容的进程都会受到影响。

function oninit(fs) {
  fs.root.getFile('applog.txt', {create: false}, function(fileEntry) {
    fileEntry.createWriter(function(fileWriter) {
      fileWriter.seek(fileWriter.length);
      var bb = new BlobBuilder();
      bb.append('Appending to a file');
      fileWriter.write(bb.getBlob('text/plain'));
    }, errorHandler);
  }, errorHandler);
}

window.requestFileSystem(window.TEMPORARY, 1024*1024, oninit, errorHandler);

攻击者可能通过对应用程序发送大量请求，而使它拒绝对合法用户的服务，但是这种攻击形式经常会在网络层就被排除掉了。更加严重的是那些只需要使用少量请求就可以使得攻击者让应用程序过载的 bug。这种 bug 允许攻击者去指定请求使用系统资源的数量，或者是持续使用这些系统资源的时间。

攻击者可能通过对应用程序发送大量请求，而使它拒绝对合法用户的服务，但是这种攻击形式经常会在网络层就被排除掉了。更加严重的是那些只需要使用少量请求就可以使得攻击者让应用程序过载的 bug。这种 bug 允许攻击者去指定请求使用系统资源的数量，或者是持续使用这些系统资源的时间。

示例 1：通过以下代码，用户可以指定系统将执行进一步处理延迟多长时间。通过指定一个较大的数值，攻击者可以无限期地占用系统。

procedure go_sleep (
usrSleepTime in NUMBER)
is
  dbms_lock.sleep(usrSleepTime);

攻击者可能向应用程序发送大量请求，促使应用程序拒绝向合法用户提供服务，但通常可以在网络层化解大部分泛洪攻击。如果存在缺陷，情况将变得更加糟糕，攻击者通过少量请求即可引发应用程序过载。攻击者可以通过此类缺陷指定请求消耗的系统资源量或资源使用持续时间。

示例 1：以下代码允许用户为 connect 函数指定连接超时的持续时间。如果指定较大的数字，则攻击者可能会无限期地占用 connect 函数。

...
insecure_config_ssl_connection_timeout = {
  'user': username,
  'password': retrievedPassword,
  'host': databaseHost,
  'port': "3306",
  'connection_timeout': connection_timeout
}

mysql.connector.connect(**insecure_config_ssl_connection_timeout)
...

攻击者可能通过对应用程序发送大量请求，而使它拒绝对合法用户的服务，但是这种攻击形式经常会在网络层就被排除掉了。更加严重的是那些只需要使用少量请求就可以使得攻击者让应用程序过载的 bug。这种 bug 允许攻击者去指定请求使用系统资源的数量，或者是持续使用这些系统资源的时间。

示例 1：通过以下代码，用户可以指定线程处于休眠状态的时长。通过指定一个较大的数值，攻击者可以无限期地占用该线程。因此，只需少量的请求，攻击者就能耗尽应用程序的线程池。

  Kernel.sleep(user_input)

示例 2：以下代码从一个文件中读取字符串。因为它在未指定限制的情况下使用 readline() 方法，所以它将读取无限量的输入。攻击者可能会利用这个代码使进程挂起，同时消耗越来越多的内存，甚至可能完全耗尽内存。

  fd = File.new(myFile)
  line = fd.readline

实施正则表达式评估程序及相关方法时存在漏洞，在评估包含重复分组表达式的正则表达式时，该漏洞会导致线程挂起。此外，攻击者可以利用任何包含相互重叠的替代子表达式的正则表达式。此缺陷可被攻击者用于执行拒绝服务 (DoS) 攻击。
示例 1：

  (e+)+
  ([a-zA-Z]+)*
  (e|ee)+

已知的正则表达式实现方式均无法避免这种漏洞。所有平台和语言都容易受到这种攻击。

实施正则表达式评估程序及相关方法时存在漏洞，在评估包含自重复分组表达式的正则表达式时，该漏洞会导致线程挂起。此外，还可以利用任何包含相互重叠的替代子表达式的正则表达式。此缺陷可被攻击者用于执行拒绝服务 (DoS) 攻击。
示例 1：

  (e+)+
  ([a-zA-Z]+)*
  (e|ee)+

已知的正则表达式实现方式均无法避免这种漏洞。所有平台和语言都容易受到这种攻击。

实施正则表达式评估程序及相关方法时存在漏洞，在评估包含自重复分组表达式的正则表达式时，该漏洞会导致线程挂起。此外，还可以利用任何包含相互重叠的替代子表达式的正则表达式。此缺陷可被攻击者用于执行拒绝服务 (DoS) 攻击。
示例 1：

  (e+)+
  ([a-zA-Z]+)*
  (e|ee)+

已知的正则表达式实现方式均无法避免这种漏洞。所有平台和语言都容易受到这种攻击。

实施正则表达式评估程序及相关方法时存在漏洞，在评估包含重复分组表达式的正则表达式时，该漏洞会导致线程挂起。此外，攻击者可以利用任何包含相互重叠的替代子表达式的正则表达式。此缺陷可被攻击者用于执行拒绝服务 (DoS) 攻击。
示例 1：

  (e+)+
  ([a-zA-Z]+)*
  (e|ee)+

已知的正则表达式实现方式均无法避免这种漏洞。所有平台和语言都容易受到这种攻击。

实施正则表达式评估程序及相关方法时存在漏洞，在评估包含自重复分组表达式的正则表达式时，该漏洞会导致线程挂起。此外，还可以利用任何包含相互重叠的替代子表达式的正则表达式。此缺陷可被攻击者用于执行拒绝服务 (DoS) 攻击。
示例 1：

  (e+)+
  ([a-zA-Z]+)*
  (e|ee)+

已知的正则表达式实现方式均无法避免这种漏洞。所有平台和语言都容易受到这种攻击。

实施正则表达式评估程序及相关方法时存在漏洞，在评估包含自重复分组表达式的正则表达式时，该漏洞会导致线程挂起。此外，还可以利用任何包含相互重叠的替代子表达式的正则表达式。攻击者可以利用此缺陷执行 Denial of Service (DoS) 攻击。
示例 1：

  (e+)+
  ([a-zA-Z]+)*
  (e|ee)+

已知的正则表达式实现方式均无法避免这种漏洞。所有平台和语言都容易受到这种攻击。

实施正则表达式评估程序及相关方法时存在漏洞，在评估包含自重复分组表达式的正则表达式时，该漏洞会导致线程挂起。此外，还可以利用任何包含相互重叠的替代子表达式的正则表达式。此缺陷可被攻击者用于执行拒绝服务 (DoS) 攻击。
示例 1：如果在已知易受攻击的代码中使用以下正则表达式，则可能发生拒绝服务攻击：

  (e+)+
  ([a-zA-Z]+)*
  (e|ee)+

依赖具有缺陷的正则表达式的问题代码示例如下：

NSString *regex = @"^(e+)+$";
NSPredicate *pred = [NSPRedicate predicateWithFormat:@"SELF MATCHES %@", regex];
if ([pred evaluateWithObject:mystring]) {
  //do something
}

大多数正则表达式解析器在计算正则表达式时都会构建 Nondeterministic Finite Automaton (NFA) 结构。在找到完全匹配之前，NFA 会尝试所有可能的匹配。在上例中，如果攻击者提供匹配字符串“eeeeZ”，则正则表达式解析器必须进行 16 次内部求值才能发现匹配项。如果攻击者使用 16 个“e”（“eeeeeeeeeeeeeeeeZ”）作为匹配字符串，则正则表达式解析器必须进行 65536 (2^16) 次计算。通过增加连续的匹配字符数，攻击者可以轻易地消耗计算资源。已知的正则表达式实现方式均无法避免这种漏洞。所有平台和语言都容易受到这种攻击。

实施正则表达式评估程序及相关方法时存在漏洞，在评估包含自重复分组表达式的正则表达式时，该漏洞会导致线程挂起。此外，还可以利用任何包含相互重叠的替代子表达式的正则表达式。此缺陷可被攻击者用于执行拒绝服务 (DoS) 攻击。
示例 1：

  (e+)+
  ([a-zA-Z]+)*
  (e|ee)+

已知的正则表达式实现方式均无法避免这种漏洞。所有平台和语言都容易受到这种攻击。

实施正则表达式评估程序及相关方法时存在漏洞，在评估包含自重复分组表达式的正则表达式时，该漏洞会导致线程挂起。 此外，还可以利用任何包含相互重叠的替代子表达式的正则表达式。 此缺陷可被攻击者用于执行拒绝服务 (DoS) 攻击。
示例 1：

  (e+)+
  ([a-zA-Z]+)*
  (e|ee)+

已知的正则表达式实现方法均无法避免这种攻击。 所有平台和语言都容易受到这种攻击。

实施正则表达式评估程序及相关方法时存在漏洞，该漏洞会导致评估线程在处理嵌套和重复的正则表达式组的重复和交替重叠时挂起。此缺陷可被攻击者用于执行拒绝服务 (DoS) 攻击。
示例 1：

(e+)+
([a-zA-Z]+)*

已知的正则表达式实现方式均无法避免这种漏洞。所有平台和语言都容易受到这种攻击。

实施正则表达式评估程序及相关方法时存在漏洞，在评估包含自重复分组表达式的正则表达式时，该漏洞会导致线程挂起。此外，还可以利用任何包含相互重叠的替代子表达式的正则表达式。此缺陷可被攻击者用于执行拒绝服务 (DoS) 攻击。
示例 1：

  (e+)+
  ([a-zA-Z]+)*
  (e|ee)+

已知的正则表达式实现方式均无法避免这种漏洞。所有平台和语言都容易受到这种攻击。

实施正则表达式评估程序及相关方法时存在漏洞，在评估包含自重复分组表达式的正则表达式时，该漏洞会导致线程挂起。此外，还可以利用任何包含相互重叠的替代子表达式的正则表达式。此缺陷可被攻击者用于执行拒绝服务 (DoS) 攻击。

示例 1：如果在已知易受攻击的代码中使用以下正则表达式，则可能发生拒绝服务攻击：

(e+)+
([a-zA-Z]+)*
(e|ee)+

依赖具有缺陷的正则表达式的问题代码示例如下：

let regex : String = "^(e+)+$"
let pred : NSPredicate = NSPRedicate(format:"SELF MATCHES \(regex)")
if (pred.evaluateWithObject(mystring)) {
  //do something
}

大多数正则表达式解析器在计算正则表达式时都会构建 Nondeterministic Finite Automaton (NFA) 结构。在找到完全匹配之前，NFA 会尝试所有可能的匹配。在Example 1 中，如果攻击者提供了匹配字符串“eeeeZ”，则正则表达式解析器必须经过 16 次内部求值才能识别出匹配项。如果攻击者使用 16 个“e”（“eeeeeeeeeeeeeeeeZ”）作为匹配字符串，则正则表达式解析器必须进行 65536 (2^16) 次计算。通过增加连续的匹配字符数，攻击者可以轻易地消耗计算资源。已知的正则表达式实现方式均无法避免这种漏洞。所有平台和语言都容易受到这种攻击。

将用户控制的数据附加到使用默认支持字符数组大小 (16) 进行初始化的 StringBuilder 或 StringBuffer 实例，会导致应用程序在调整基础数组的大小以适应用户数据时占用大量堆内存。将数据附加到 StringBuilder 或 StringBuffer 实例上时，实例将确定支持字符数组是否有足够的可用空间来存储数据。如果数据不合适，StringBuilder 或 StringBuffer 实例将会创建新的数组，其容量至少为以前数组大小的两倍，而旧数组在进行回收之前，将继续留在堆中。攻击者可以利用此实现详细信息执行 Denial of Service (DoS) 攻击。

示例 1：用户控制的数据附加到使用默认构造函数进行初始化的 StringBuilder 实例。

    ...
    val sb = StringBuilder()
    val labels = request.getParameterValues("label")
    for (label in labels) {
        sb.appendln(label)
    }
    ...

当程序员错误地认为由用户直接提供的指令仅会执行一些无害的操作时（如对当前的用户对象进行简单的计算或修改用户的状态），就会出现 code injection 漏洞：然而，若不经过适当的验证，用户指定的操作可能并不是程序员最初所期望的。

示例 1：在这一典型的代码注入示例中，报告实施的基本计算器允许用户指定要执行的命令。

...
user_ops = request->get_form_field( 'operation' ).
CONCATENATE: 'PROGRAM zsample.| FORM calculation. |' INTO code_string,
             calculator_code_begin user_ops calculator_code_end INTO code_string,
			 'ENDFORM.|' INTO code_string.
SPLIT code_string AT '|' INTO TABLE code_table.
GENERATE SUBROUTINE POOL code_table NAME calc_prog.
PERFORM calculation IN PROGRAM calc_prog.
...

当 operation 参数的值为良性值时，程序可以正常运行。但是，如果攻击者指定的语言操作有效，而且为恶意操作时，只有在对主进程具有完全权限的情况下才能执行这些操作。当注入的代码可以访问系统资源或执行系统命令时，这类攻击的危险性进一步加大。例如，如果攻击者打算将“MOVE 'shutdown -h now' to cmd.CALL 'SYSTEM' ID 'COMMAND' FIELD cmd ID 'TAB' FIELD TABL[].”指定为 operation 的值，主机系统就会执行关机命令。

许多现代编程语言都允许动态解析源代码指令。这使得程序员可以执行基于用户输入的动态指令。当程序员错误地认为由用户直接提供的指令仅会执行一些无害的操作时（如对当前的用户对象进行简单的计算或修改用户的状态），就会出现 code injection 漏洞：然而，若不经过适当的验证，用户指定的操作可能并不是程序员最初所期望的。

示例 1：在这一典型的代码注入示例中，应用程序实施的基本计算器允许用户指定要执行的命令。

...
        var params:Object = LoaderInfo(this.root.loaderInfo).parameters;
        var userOps:String = String(params["operation"]);
        result = ExternalInterface.call("eval", userOps);
...

如果 operation 参数的值为良性值，程序就可以正常运行。例如，当该值为 "8 + 7 * 2" 时，result 变量被赋予的值将为 22。然而，如果攻击者指定的语言操作既有可能是有效的，又有可能是恶意的，那么，只有在对主进程具有完全权限的情况下才能执行这些操作。如果底层语言提供了访问系统资源的途径或允许执行系统命令，这种攻击甚至会更加危险。对于 ActionScript，攻击者可以利用这种漏洞进行跨站点脚本攻击。

许多现代编程语言都允许动态解析源代码指令。这使得程序员可以执行基于用户输入的动态指令。当程序员错误地认为由用户直接提供的指令仅会执行一些无害的操作时（如对当前的用户对象进行简单的计算或修改用户的状态），就会出现 code injection 漏洞：然而，若不经过适当的验证，用户指定的操作可能并不是程序员最初所期望的。

示例 1：在这一典型的代码注入示例中，应用程序实施的基本计算器允许用户指定要执行的命令。

...
    public static object CEval(string sCSCode)
    {
        CodeDomProvider icc = CodeDomProvider.CreateProvider("CSharp"); 
        CompilerParameters cparam = new CompilerParameters();
        cparam.ReferencedAssemblies.Add("system.dll");
        cparam.CompilerOptions = "/t:library";
        cparam.GenerateInMemory = true;

        StringBuilder sb_code = new StringBuilder("");
        sb_code.Append("using System;\n");
        sb_code.Append("namespace Fortify_CodeEval{ \n");
        sb_code.Append("public class FortifyCodeEval{ \n");
        sb_code.Append("public object EvalCode(){\n");
        sb_code.Append(sCSCode + "\n");
        sb_code.Append("} \n");
        sb_code.Append("} \n");
        sb_code.Append("}\n");

        CompilerResults cr = icc.CompileAssemblyFromSource(cparam, sb_code.ToString());
        if (cr.Errors.Count > 0)
        {
            logger.WriteLine("ERROR: " + cr.Errors[0].ErrorText);
            return null;
        }

        System.Reflection.Assembly a = cr.CompiledAssembly;
        object o = a.CreateInstance("Fortify_CodeEval.FortifyCodeEval");

        Type t = o.GetType();
        MethodInfo mi = t.GetMethod("EvalCode");

        object s = mi.Invoke(o, null);
        return s;
    }
...

如果 sCSCode 参数的值为良性值，程序就可以正常运行。例如，当该值为“return 8 + 7 * 2”时，函数 CEval 的返回值为 22。但是，如果攻击者指定的语言操作有效，而且为恶意操作时，只有在对主进程具有完全权限的情况下才能执行这些操作。如果底层语言提供了访问系统资源的途径或允许执行系统命令，这种攻击甚至会更加危险。例如，.Net 允许调用 Windows API；如果攻击者计划将“return System.Diagnostics.Process.Start(\"shutdown\", \"/s /t 0\");”指定为 operation 的值，主机系统就会执行关机命令。

许多现代编程语言都允许动态解析源代码指令。这使得程序员可以执行基于用户输入的动态指令。当程序员错误地认为由用户直接提供的指令仅会执行一些无害的操作时（如对当前的用户对象进行简单的计算或修改用户的状态），就会出现 code injection 漏洞：然而，若不经过适当的验证，用户指定的操作可能并不是程序员最初所期望的。

示例 1：在这一典型的代码注入示例中，应用程序实施的基本计算器允许用户指定要执行的命令。

...
	userOp = form.operation.value;
	calcResult = eval(userOp);
...

如果 operation 参数的值为良性值，程序就可以正常运行。例如，当该值为 "8 + 7 * 2" 时，calcResult 变量被赋予的值将为 22。然而，如果攻击者指定的语言操作既有可能是有效的，又有可能是恶意的，那么，只有在对主进程具有完全权限的情况下才能执行这些操作。如果底层语言提供了访问系统资源的途径或允许执行系统命令，这种攻击甚至会更加危险。对于 JavaScript，攻击者还可以利用这种漏洞进行 cross-site scripting 攻击。

许多现代编程语言都允许动态解析源代码指令。这使得程序员可以执行基于用户输入的动态指令。当程序员错误地认为由用户直接提供的指令仅会执行一些无害的操作时（如对当前的用户对象进行简单的计算或修改用户的状态），就会出现 code injection 漏洞：然而，若不经过适当的验证，用户指定的操作可能并不是程序员最初所期望的。

示例 1：以下代码使用 UITextField 的输入，以动态更改 WKWebView 中内容的背景颜色：

...
@property (strong, nonatomic) WKWebView *webView;
@property (strong, nonatomic) UITextField *inputTextField;
...
[_webView evaluateJavaScript:[NSString stringWithFormat:@"document.body.style.backgroundColor="%@";", _inputTextField.text] completionHandler:nil];
...

当 UITextField 输入是良性值（如“blue”）时，程序可以正常运行，在这种情况下，webView 中的 <body> 元素会设置为蓝色背景样式。然而，如果攻击者提供仍然有效的恶意输入，则也许能够执行任意 JavaScript 代码。例如，因为 JavaScript 可以访问特定类型的私人信息（如 cookies），所以如果攻击者指定 “white";document.body.innerHTML=document.cookie;”作为 UITextField 的输入，cookie 信息将会以可视方式写入页面中。当底层语言提供了对系统资源的访问或允许执行系统命令时，此类攻击甚至更危险，因为在这些情况下，将在对主进程具有完全权限的情况下执行注入的代码。

许多现代编程语言都允许动态解析源代码指令。这使得程序员可以执行基于用户输入的动态指令。当程序员错误地认为由用户直接提供的指令仅会执行一些无害的操作时（如对当前的用户对象进行简单的计算或修改用户的状态），就会出现 code injection 漏洞：然而，若不经过适当的验证，用户指定的操作可能并不是程序员最初所期望的。

示例 1：在这一典型的代码注入示例中，应用程序实施的基本计算器允许用户指定要执行的命令。

...
	$userOps = $_GET['operation'];
	$result = eval($userOps);
...

如果 operation 参数的值为良性值，程序就可以正常运行。例如，当该值为“8 + 7 * 2”时，result 变量被赋予的值将为 22。然而，如果攻击者指定的语言操作是有效的，又是恶意的，那么，将在对主进程具有完全权限的情况下执行这些操作。如果底层语言提供了访问系统资源的途径或允许执行系统命令，这种攻击甚至会更加危险。例如，如果攻击者计划将“exec('shutdown -h now')”指定为 operation 的值，主机系统就会执行关机命令。

许多现代编程语言都允许动态解析源代码指令。这使得程序员可以执行基于用户输入的动态指令。当程序员错误地认为由用户直接提供的指令仅会执行一些无害的操作时（如对当前的用户对象进行简单的计算或修改用户的状态），就会出现 code injection 漏洞：然而，若不经过适当的验证，用户指定的操作可能并不是程序员最初所期望的。

示例 1：在这一典型的代码注入示例中，应用程序实施的基本计算器允许用户指定要执行的命令。

...
userOps = request.GET['operation']
result = eval(userOps)
...

如果 operation 参数的值为良性值，程序就可以正常运行。例如，当该值为“8 + 7 * 2”时，result 变量被赋予的值将为 22。然而，如果攻击者指定的语言操作是有效的，又是恶意的，那么，将在对主进程具有完全权限的情况下执行这些操作。如果底层语言提供了访问系统资源的途径或允许执行系统命令，这种攻击甚至会更加危险。例如，如果攻击者计划将“os.system('shutdown -h now')”指定为 operation 的值，主机系统就会执行关机命令。

许多现代编程语言都允许动态解析源代码指令。这使得程序员可以执行基于用户输入的动态指令。当程序员错误地认为由用户直接提供的指令仅会执行一些无害的操作时（如对当前的用户对象进行简单的计算或修改用户的状态），就会出现 code injection 漏洞：然而，若不经过适当的验证，用户指定的操作可能并不是程序员最初所期望的。
示例 1：在此代码注入示例中，应用程序实现了一个基本的计算器，以便允许用户指定要执行的命令。

...
  user_ops = req['operation']
  result = eval(user_ops)
...

如果 operation 参数的值为良性值，程序就可以正常运行。例如，当该值为 "8 + 7 * 2" 时，result 变量被赋予的值将为 22。然而，如果攻击者指定的语言操作既有可能是有效的，又有可能是恶意的，那么，只有在对主进程具有完全权限的情况下才能执行这些操作。如果底层语言提供了访问系统资源的途径或允许执行系统命令，这种攻击甚至会更加危险。借助 Ruby，这可以实现，因为通过使用分号 (;) 分隔这些行，可以运行多个命令，此外，使用一个简单的注入，也可以运行多个命令，同时还没有破坏程序。
如果攻击者要提交参数 operation "system(\"nc -l 4444 &\");8+7*2"，那么这将打开端口 4444 以侦听计算机上的连接，然后仍然将值 22 返回到 result

许多现代编程语言都允许动态解析源代码指令。这使得程序员可以执行基于用户输入的动态指令。当程序员错误地认为由用户直接提供的指令仅会执行一些无害的操作时（如对当前的用户对象进行简单的计算或修改用户的状态），就会出现 code injection 漏洞：然而，若不经过适当的验证，用户指定的操作可能并不是程序员最初所期望的。

示例 1：以下代码使用 UITextField 的输入，以动态更改 WKWebView 中内容的背景颜色：

...
var webView : WKWebView
var inputTextField : UITextField
...
webView.evaluateJavaScript("document.body.style.backgroundColor="\(inputTextField.text)";" completionHandler:nil)
...

当 UITextField 输入是良性值（如“blue”）时，程序可以正常运行，在这种情况下，webView 中的 <body> 元素会设置为蓝色背景样式。然而，如果攻击者提供仍然有效的恶意输入，则也许能够执行任意 JavaScript 代码。例如，因为 JavaScript 可以访问特定类型的私人信息（如 cookies），所以如果攻击者指定 “white";document.body.innerHTML=document.cookie;”作为 UITextField 的输入，cookie 信息将会以可视方式写入页面中。当底层语言提供了对系统资源的访问或允许执行系统命令时，此类攻击甚至更危险，因为在这些情况下，将在对主进程具有完全权限的情况下执行注入的代码。

许多现代语言都允许动态解析源代码指令。如果程序员需要由用户提供的指令对数据操作，这种情况下可以应用这种功能。当然，我们更愿意利用底层语言构造，而不是通过执行代码来解析用户输入。由用户提供的指令预期执行一些无害的操作，例如，对当前的用户对象进行简单计算或修改用户对象的状态，等等。然而，如果程序员不够细心，用户指定的操作范围可能会超出程序员最初的设想。

示例 1：允许用户指定底层编程构造的典型示例应用程序是计算器。以下 ASP 代码可接受由用户指定的要进行计算并返回结果的基本数学操作：

...
	strUserOp = Request.Form('operation')
	strResult = Eval(strUserOp)
...

在 operation 参数为“8 + 7 * 2”的示例中，程序的预期行为是可行的。strResult 变量应返回的值为 22。然而，如果用户打算指定其他有效的语言操作，那么系统不仅会执行这些操作，还会在对主进程具有完全权限的情况下执行。如果底层语言提供了访问系统资源的途径，或者允许执行系统命令，那么执行任意代码会更加危险。例如，如果攻击者打算将 operation 指定为“Shell('C:\WINDOWS\SYSTEM32\TSSHUTDN.EXE 0 /DELAY:0 /POWERDOWN')”，主机系统会执行关机命令。

许多现代编程语言都允许动态解析源代码指令。这使得程序员可以执行基于用户输入的动态指令。当程序员错误地认为由用户直接提供的指令仅会执行一些无害的操作时（如对当前的用户对象进行简单的计算或修改用户的状态），就会出现 code injection 漏洞：然而，若不经过适当的验证，用户指定的操作可能并不是程序员最初所期望的。

例 1：在这段代码注入示例中，请求参数被绑定到要评估的 Razor 模板。

...
	string name = Request["username"];
	string template = "Hello @Model.Name! Welcome " + name + "!";
	string result = Razor.Parse(template, new { Name = "World" });
...

如果 operation 参数的值为良性值，程序就可以正常运行。例如，当该值为 "John" 时，result 变量被赋予的值将为 "Hello World!Welcome John!"。然而，如果攻击者指定的语言操作既有可能是有效的，又有可能是恶意的，那么，只有在对主进程具有完全权限的情况下才能执行这些操作。如果底层语言提供了访问系统资源的途径或允许执行系统命令，这种攻击甚至会更加危险。例如，Razor 允许调用 C# 对象；如果攻击者计划将 " @{ System.Diagnostics.Process proc = new System.Diagnostics.Process(); proc.EnableRaisingEvents=false; proc.StartInfo.FileName=\"calc\"; proc.Start(); }" 指定为 name 的值，主机系统就会执行系统命令。

许多现代编程语言都允许动态解析源代码指令。这使得程序员可以执行基于用户输入的动态指令。当程序员错误地认为由用户直接提供的指令仅会执行一些无害的操作时（如对当前的用户对象进行简单的计算或修改用户的状态），就会出现 code injection 漏洞：然而，若不经过适当的验证，用户指定的操作可能并不是程序员最初所期望的。

示例 1：在这一典型的代码注入示例中，应用程序实施的基本计算器允许用户指定要执行的命令。

...
    userOp = form.operation.value;
    calcResult = eval(userOp);
...

如果 operation 参数的值为良性值，程序就可以正常运行。例如，当该值为“8 + 7 * 2”时，calcResult 变量被赋予的值将为 22。然而，如果攻击者指定的语言操作既有可能是有效的，又有可能是恶意的，那么，只有在对主进程具有完全权限的情况下才能执行这些操作。如果底层语言提供了访问系统资源的途径或允许执行系统命令，这种攻击甚至会更加危险。对于 JavaScript，攻击者还可以利用这种漏洞进行 cross-site scripting 攻击。

许多现代语言都允许动态解析源代码指令。如果程序员需要由用户提供的指令对数据操作，这种情况下可以应用这种功能。当然，我们更愿意利用底层语言构造，而不是通过执行代码来解析用户输入。由用户提供的指令预期执行一些无害的操作，例如，对当前的用户对象进行简单计算或修改用户对象的状态，等等。然而，如果程序员不够细心，用户指定的操作范围可能会超出程序员最初的设想。

示例 1：允许用户指定底层编程构造的典型示例应用程序是计算器。以下 ASP 代码可接受由用户指定的要进行计算并返回结果的基本数学操作：

...
        strUserOp = Request.Form('operation')
        strResult = Eval(strUserOp)
...

在 operation 参数为“8 + 7 * 2”的示例中，程序的预期行为是可行的。strResult 变量应返回的值为 22。然而，如果用户打算指定其他有效的语言操作，那么系统不仅会执行这些操作，还会在对主进程具有完全权限的情况下执行。如果底层语言提供了访问系统资源的途径，或者允许执行系统命令，那么执行任意代码会更加危险。例如，如果攻击者打算将 operation 指定为“Shell('C:\WINDOWS\SYSTEM32\TSSHUTDN.EXE 0 /DELAY:0 /POWERDOWN')”，主机系统会执行关机命令。

.NET 序列化会将对象图转换为字节流或 XML 流（包含对象本身和必要的元数据），以便通过流进行重构。开发人员可以创建自定义代码，以协助 .NET 对象反序列化过程，在此期间，他们可以使用其他对象或代理替代反序列化对象。在对象重构过程中，并在对象返回至应用程序并转换为预期的类型之前，会执行自定义反序列化过程。到开发人员尝试强制执行预期的类型时，代码可能已被执行。

示例 1：以下函数将连接中的 Stream 对象作为输入，并将其重新反序列化为 .NET 对象。然后在将其转换为字符串对象列表后返回结果：

...
List <string> Deserialize(Stream input)
{
  var bf = new BinaryFormatter();
  var result = (List <string>)bf.Deserialize(input); 
  return result;
}
...

为便于理解，Example 1 可按以下方式重写：

例 2：

...
List <string> Deserialize(Stream input)
{
  var bf = new BinaryFormatter();
  object tmp = bf.Deserialize(input);
  List <string> result = (List <string>)tmp;
  return result;
}
...

在Example 2 中，不管类型是否为 List <string>，只要输入流有效，反序列化操作就会成功。

在必须存在于 bin 文件夹或 GAC 中且无法由攻击者注入的可序列化类中，会自定义反序列化例程，所以这些攻击的可利用性取决于应用程序环境中的可用类。令人遗憾的是，常用的第三方类，甚至 .NET 类都可以被滥用，导致系统资源耗尽、删除文件、部署恶意文件或运行任意代码。

将对象图转换为 Json 格式数据的 Json 序列化库可能包括重新从 Json 流重构对象所需的元数据。如果攻击者可以指定要重构的对象类型，并能够强制应用程序运行具有用户控制数据的任意资源库，则在 Json 流的反序列化期间他们也许能够执行任意代码。

将对象图转换为 YAML 格式数据的 YAML 序列化库可能包括重新从 YAML 流重构对象所需的元数据。 如果攻击者可以指定要重构的对象类，并能够强制应用程序运行具有用户控制数据的任意资源库，则在 YAML 流的反序列化期间，他们也许能够执行任意代码。

示例： 以下示例使用 YamlDotNet 解析器对不受信任的 YAML 字符串进行反序列化。

    var yamlString = getYAMLFromUser();

    // Setup the input
    var input = new StringReader(yamlString);

    // Load the stream
    var yaml = new YamlStream();
    yaml.Load(input);