Cuprins:
Definiție - Ce înseamnă Codul Injecție?
Injecția de cod este injecția dăunătoare sau introducerea de cod într-o aplicație. Codul introdus sau injectat este capabil să compromită integritatea bazei de date și / sau să compromită proprietățile de confidențialitate, securitatea și chiar corectitudinea datelor. De asemenea, poate fura date și / sau ocoli accesul și controlul de autentificare. Atacurile de injecție de cod pot plagi aplicațiile care depind de intrarea utilizatorului pentru executare.Techopedia explică injecția de cod
Există patru tipuri principale de atacuri de injectare de cod:
- Injecție SQL
- Injecție script
- Injecție de coajă
- Evaluare dinamică
Injecția SQL este un mod de atac care este folosit pentru a corupta o interogare legitimă a bazei de date pentru a furniza date falsificate. Injecția scriptului este un atac în care atacatorul furnizează cod de programare către partea serverului motorului de script. Atacurile de injecție Shell, cunoscute și sub denumirea de atacuri de comandă ale sistemului de operare, manipulează aplicațiile care sunt utilizate pentru formularea comenzilor pentru sistemul de operare. Într-un atac de evaluare dinamică, un cod arbitrar înlocuiește intrarea standard, ceea ce duce la executarea primului de către aplicație. Diferența dintre injectarea de cod și injecția de comandă, o altă formă de atac, este limitarea funcționalității codului injectat pentru utilizatorul rău intenționat.
Vulnerabilitățile de injectare de cod variază de la cele ușor până la cele dificil de găsit. Multe soluții au fost dezvoltate pentru a zădărnici aceste tipuri de atacuri de injectare de cod, atât pentru domeniul aplicației, cât și pentru domeniul arhitecturii. Unele exemple includ validarea intrării, parametrizarea, setarea privilegiilor pentru diferite acțiuni, adăugarea unui strat suplimentar de protecție și altele.
