a kódinjekciót a támadó arra használhatja, hogy rosszindulatú kódot vezessen be egy sebezhető számítógépes programba, és megváltoztassa a végrehajtás menetét.
minden szoftver valamilyen bemenetet vesz igénybe – egy biztonságos programnak minden külső forrásból származó bemenetet “megbízhatatlannak” kell kezelnie, amíg az ellenkezőjét nem bizonyítják. Kódinjekciós sebezhetőségek léteznek, amikor a támadó végrehajtható bemenetet küldhet be egy programba, és becsaphatja a szoftvert a bemenet futtatására. Ez ad a támadónak egy csatornát, amellyel megkerülheti a program szerzője által bevezetett biztonsági korlátozásokat.
a kódinjekció néhány gyakori típusa:
-
SQL injekció. A HTTP-paraméterek nem biztonságos kezelése lekérdezések létrehozásakor egy webhelyen lehetővé teheti a támadó számára, hogy tetszőleges SQL-utasításokat futtasson egy sebezhető alkalmazásban.
-
Cross site scripting. A HTTP-paraméterek nem biztonságos kezelése lehetővé teszi a rosszindulatú JavaScript webes alkalmazásba történő befecskendezését.
-
parancs végrehajtása. A HTTP paraméterek nem biztonságos kezelése lehetővé teheti a támadástfuttatni tetszőleges shell parancsokat awebkiszolgálón.
a sikeres kódinjekció következményei általában katasztrofálisakaz alkalmazás szerzője. A kockázatok mérsékelhetők a nem megbízható bemenet biztonságos kezelésével, valamint a védelem alapos gyakorlásával a futó alkalmazás jogosultságainak korlátozása érdekében.