コードインジェクションは、攻撃者が脆弱なコンピュータプログラムに悪意のあるコードを導入し、実行コースを変更するために使
すべてのソフトウェアは何らかの入力を取ります–安全なプログラムは、他の方法で証明されるまで、外部ソースからのすべての入力を”信頼されていない”と扱う必要があります。 コードインジェクションの脆弱性は、攻撃者が実行可能な入力をプログラムに送信し、その入力を実行するようにソフトウェアをだまし これにより、攻撃者はプログラムの作成者によって設定されたセキュリティ制限を回避することができるchannelbyを与えます。
コードインジェクションの一般的なタイプは次のとおりです:
-
SQLインジェクション。 Webサイトでqueriesonを構築するときのHTTPパラメータの安全でない処理は、攻撃者が脆弱なアプリケーションで任意のSQLステートメントを実行することを可能にする可能性があります。
-
クロスサイトスクリプティング。 HTTPパラメータの安全でない処理は、悪意のあるJavaScriptをwebアプリケーションに注入することを可能にする可能性があります。
-
コマンドの実行。 HTTPパラメータの安全でない処理は、攻撃者がwebサーバー上で任意のシェルコマンドを実行することを可能にすることができます。
成功したコードインジェクションの結果は、一般的にアプリケーションの作成者にとって悲惨です。 このリスクは、信頼されていない入力の安全な処理を確実にし、実行中のアプリケーションの権限を制限するために詳細な防御を実践することによ