Indholdsfortegnelse:
Definition - Hvad betyder kodeindsprøjtning?
Kodeinjektion er den ondsindede injektion eller introduktion af kode i en applikation. Koden, der er introduceret eller indsprøjtet, er i stand til at kompromittere databasens integritet og / eller kompromittere privatlivets egenskaber, sikkerhed og endda datakorrektion. Det kan også stjæle data og / eller omgå adgangs- og godkendelseskontrol. Kodinjektionsangreb kan plage applikationer, der afhænger af brugerinput til eksekvering.Techopedia forklarer kodeinjektion
Der er fire hovedtyper af angreb til kodeinjektion:
- SQL-injektion
- Manuskriptinjektion
- Shell-injektion
- Dynamisk evaluering
SQL-injektion er en angrebetilstand, der bruges til at ødelægge en legitim databaseforespørgsel til at give forfalskede data. Scriptinjektion er et angreb, hvor angriberen leverer programmeringskode til serversiden af scriptingmotoren. Shell-injektionsangreb, også kendt som operativsystemkommandoangreb, manipulerer applikationer, der bruges til at formulere kommandoer til operativsystemet. I et dynamisk evalueringsangreb erstatter en vilkårlig kode standardinputet, hvilket resulterer i, at førstnævnte udføres af applikationen. Forskellen mellem kodeinjektion og kommandoinjektion, en anden form for angreb, er begrænsningen af funktionaliteten af den injicerede kode for den ondsindede bruger.
Sårbarheder med kodeindsprøjtning spænder fra let til vanskeligt at finde dem. Der er udviklet mange løsninger til at afværge disse typer angreb til kodeinjektion, både til applikations- og arkitekturdomæne. Nogle eksempler inkluderer inputvalidering, parameterisering, privilegeringsindstilling til forskellige handlinger, tilføjelse af ekstra lag af beskyttelse og andre.
