Kodeinjektion kan bruges af en angriber til at introducere ondsindet kode i et sårbart computerprogram og ændre udførelsesforløbet.
alle programmer tager en slags input – et sikkert program skal behandle alle input fra en ekstern kilde som” upålidelige”, indtil andet er bevist. Kodeinjektionssårbarheder findes, når en hacker kan indsende eksekverbar input til et program og narre programmet til at køre det input. Dette giver angriberen en kanal, hvorved de kan omgå eventuelle sikkerhedsrestriktioner, der er indført af programmets forfatter.
nogle almindelige typer kodeinjektion er:
-
injektion. Usikker behandling af HTTP-parametre ved konstruktion af forespørgsler på en hjemmeside kan tillade en angriber at køre vilkårlige udsagn om en sårbar applikation.
-
Cross site scripting. Usikker behandling af HTTP-parametre kan tillade injektion af ondsindet JavaScript i en internetapplikation.
-
kommando udførelse. Usikker behandling af HTTP-parametre kan tillade et angrebat køre køre vilkårlige shell-kommandoer på internetserveren.
konsekvenserne af en vellykket kodeinjektion er generelt katastrofale foransøgningsforfatteren. Risiciene kan afhjælpes ved at sikre sikker behandling af ikke-tillid til input og ved at øve forsvaret i dybden for at begrænse privilegierne i den kørende applikation.