injekce kódu může útočník použít k zavedení škodlivého kódu do zranitelného počítačového programu a ke změně průběhu provádění.
veškerý software má nějaký vstup-bezpečný program by měl považovat všechny vstupy z externího zdroje za „nedůvěryhodné“, dokud se neprokáže opak. Zranitelnosti vstřikování kódu existují, když útočník může odeslat spustitelný vstup do programu a přimět software, aby spustil tento vstup. To dává útočníkovi kanál, kterým může obejít všechna bezpečnostní omezení zavedená autorem programu.
některé běžné typy vstřikování kódu jsou:
-
SQL Injection. Nebezpečné zacházení s parametry HTTP při vytváření dotazů na webu může útočníkovi umožnit spuštění libovolných prohlášení SQL v zranitelné aplikaci.
-
Cross site skriptování. Nebezpečné zpracování parametrů HTTP může umožnit vložení škodlivého JavaScriptu do webové aplikace.
-
provedení příkazu. Nebezpečné zpracování parametrů HTTP může útočníkovi umožnitspustit libovolné příkazy shellu na webovém serveru.
důsledky úspěšné injekce kódu jsou obecně katastrofálníautor aplikace. Rizika lze zmírnit zajištěním bezpečného zacházení s nedůvěryhodným vstupem a podrobným procvičováním obrany s cílem omezit oprávnění spuštěné aplikace.