日志注入

日志注入通常不会引发服务功能性的损害，而主要是做为一种辅助攻击手段。

1. New Line Injection

插入新行的注入方式，这种方式是最广泛的log注入方法。
例如：张三不怀好意，在用户名一栏里输入以下的字符
张三\n delete all files

2. Sparator Injection

有些人写日志喜欢用一些分隔符来分隔不一样的字段，好比用分隔符：|，或者使用TAB做为分隔符。若是在日志中加入相同的分隔符，管理经过直接阅读日志会很容易发现，但若是管理员使用程序读取日志，则会产生误解。
防护方法：建议尽可能不要使用分隔符，或替换分隔符。

3. Timestamp Injection

空行注入的一种方式，若是日志中会记录时间戳，入侵者在恶意注入的日志中加入时间戳，达到误导管理人员的目的。

4. Abusing Word Wrap

当换行注入被拒绝的时候，还有一种投机的办法，就是不主动换行，使用一些空格或其余符号，致使文字自动换行。

5. HTML Injection

不少状况下，日志内容被读取后，会在一个网页中进行显示。