Code-injectie kan door een aanvaller worden gebruikt om kwaadaardige code in een kwetsbaar computerprogramma te introduceren en het verloop van de uitvoering te veranderen.
alle software heeft een soort invoer nodig-een veilig programma zou alle invoer van externe bron als “niet vertrouwd” moeten behandelen totdat het tegendeel is bewezen. Code-injectie kwetsbaarheden bestaan wanneer een aanvaller uitvoerbare invoer kan indienen om een programma en truc de software in het uitvoeren van die invoer. Dit geeft de aanvaller een kanaal waarmee hij eventuele beveiligingsbeperkingen die door de auteur van het programma zijn ingesteld, kan omzeilen.
enkele veelvoorkomende typen codeinjectie zijn::
-
SQL injectie. Onveilige behandeling van HTTP-parameters bij het construeren van query ‘ s op een website kan een aanvaller willekeurige SQL-statementsuit te voeren op een kwetsbare toepassing.
-
Cross site scripting. Onveilige behandeling van HTTP-parameters kan injectie van kwaadaardige JavaScript in een webapplicatie toestaan.
-
commando uitvoering. Onveilige behandeling van HTTP-parameters kan een aanval toestaan om willekeurige shell-commando ‘ s op deweb-server uit te voeren.
de gevolgen van een succesvolle code-injectie zijn over het algemeen rampzalig voor de auteur van de aanvraag. De risico ‘ s kunnen worden beperkt door te zorgen voor een veilige behandeling van niet-vertrouwde invoer, en door het beoefenen van de verdediging in de diepte om de privileges van de lopende toepassing te beperken.