Obsah:
Definícia - Čo znamená vstrekovanie kódu?
Vstrekovanie kódu je škodlivé vstrekovanie alebo zavedenie kódu do aplikácie. Kód zavedený alebo injektovaný je schopný narušiť integritu databázy a / alebo ohroziť vlastnosti súkromia, bezpečnosť a dokonca aj správnosť údajov. Môže tiež ukradnúť údaje a / alebo obísť kontrolu prístupu a overovania. Útoky s vložením kódu môžu poškodiť aplikácie, ktoré sú pri vykonávaní závislé od vstupu užívateľa.Techopedia vysvetľuje vstrekovanie kódu
Existujú štyri hlavné typy útokov na vstrekovanie kódu:
- SQL vstrekovanie
- Vkladanie skriptov
- Injekcia škrupiny
- Dynamické hodnotenie
SQL injekcia je režim útoku, ktorý sa používa na poškodenie legitímneho databázového dotazu na poskytnutie falšovaných údajov. Vkladanie skriptov je útok, pri ktorom útočník poskytuje programový kód na strane servera skriptovacieho motora. Útoky typu Shell injection, známe tiež ako útoky príkazov operačného systému, manipulujú s aplikáciami, ktoré sa používajú na formulovanie príkazov pre operačný systém. Pri útoku dynamického hodnotenia nahradí štandardný vstup ľubovoľný kód, čo vedie k tomu, že prvý sa vykoná pomocou aplikácie. Rozdiel medzi vstrekovaním kódu a vstrekovaním príkazu, ďalšou formou útoku, je obmedzenie funkčnosti vstrekovaného kódu pre škodlivého používateľa.
Slabé miesta pre vloženie kódu sa pohybujú od ľahko dostupných až po ťažko dostupné. Bolo vyvinutých mnoho riešení na potlačenie týchto typov útokov na vstrekovanie kódu pre aplikačnú aj architektonickú doménu. Niektoré príklady zahŕňajú overenie vstupu, parametrizáciu, nastavenie privilégií pre rôzne akcie, pridanie ďalšej vrstvy ochrany a ďalšie.
