Tartalomjegyzék:
Meghatározás - Mit jelent a kódbefecskendezés?
A kódinjekció egy rosszindulatú injekció vagy kód bevezetése egy alkalmazásba. A bevezetett vagy befecskendezett kód veszélyeztetheti az adatbázis integritását és / vagy az adatvédelmi tulajdonságokat, a biztonságot és az adatok helyességét. Ezenkívül adatot lophat és / vagy megkerüli a hozzáférés és a hitelesítés vezérlését. A kódinjekciós támadások olyan programokat okozhatnak, amelyek végrehajtása a felhasználói bemenetektől függ.A Techopedia magyarázza a kódbefecskendezést
A kódinjekciós támadásoknak négy fő típusa van:
- SQL injekció
- Szkript injekció
- Héj injekció
- Dinamikus értékelés
Az SQL befecskendezés egy olyan támadási mód, amelyet egy legitim adatbázis-lekérdezés megrongálására használnak, hogy hamis adatokat szolgáltatjanak. A szkript-befecskendezés olyan támadás, amelyben a támadó programozási kódot ad a szkripthajtógép szerver oldalának. A héj-befecskendező támadások, más néven operációs rendszer parancsnoki támadások, manipulálják az operációs rendszer parancsának megfogalmazására szolgáló alkalmazásokat. Dinamikus értékelési támadás esetén egy önkényes kód helyettesíti a standard bemenetet, amelynek eredményeként az előzőt az alkalmazás hajtja végre. A kódbevitel és a parancsinjekció - a támadás egy másik formája - közötti különbség a befecskendezett kód funkcionalitásának korlátozása a rosszindulatú felhasználó számára.
A kódinjekciók sérülékenysége a könnyűtől a nehezen megtalálhatóig terjed. Számos megoldást fejlesztettek ki az ilyen típusú kódinjekciós támadások megakadályozására, mind az alkalmazás, mind az architektúra területén. Néhány példa a bemeneti validálás, a paraméterezés, a különböző műveletek kiváltságainak beállítása, a kiegészítő védelmi réteg hozzáadása és mások.
