Inhoudsopgave:
Definitie - Wat betekent code-injectie?
Code-injectie is de kwaadaardige injectie of introductie van code in een toepassing. De geïntroduceerde of geïnjecteerde code kan de database-integriteit aantasten en / of de privacy-eigenschappen, de beveiliging en zelfs de gegevens correct maken. Het kan ook gegevens stelen en / of toegang en authenticatiecontrole omzeilen. Code-injectieaanvallen kunnen toepassingen pesten die afhankelijk zijn van gebruikersinvoer voor uitvoering.Techopedia legt Code-injectie uit
Er zijn vier hoofdtypen van code-injectieaanvallen:
- SQL injectie
- Scriptinjectie
- Shell injectie
- Dynamische evaluatie
SQL-injectie is een aanvalsmodus die wordt gebruikt om een legitieme databasequery te corrumperen om vervalste gegevens te leveren. Scriptinjectie is een aanval waarbij de aanvaller programmeercode verstrekt aan de serverkant van de scripting-engine. Shell-injectieaanvallen, ook bekend als besturingssysteemopdrachten, manipuleren toepassingen die worden gebruikt om opdrachten voor het besturingssysteem te formuleren. In een dynamische evaluatieaanval vervangt een willekeurige code de standaardinvoer, waardoor de eerste door de toepassing wordt uitgevoerd. Het verschil tussen code-injectie en opdrachtinjectie, een andere vorm van aanval, is de beperking van de functionaliteit van de geïnjecteerde code voor de kwaadwillende gebruiker.
De kwetsbaarheden van code-injectie variëren van gemakkelijk tot moeilijk te vinden. Veel oplossingen zijn ontwikkeld om dit soort aanvallen van code-injectie te dwarsbomen, zowel voor toepassingen als voor architectuur. Enkele voorbeelden zijn invoervalidatie, parametrering, privilege-instellingen voor verschillende acties, toevoeging van een extra beveiligingslaag en andere.
