Kodinjektion kan användas av en angripare för att införa skadlig kod i ett sårbart datorprogram och ändra körningsförloppet.
all programvara tar någon form av inmatning – ett säkert program bör behandla all inmatning frånen extern källa som ”otillförlitlig” tills det bevisas annars. Kodinjektionssårbarheter finns när en angripare kan skicka körbar inmatning till ett program och lura programvaran att köra den inmatningen. Detta ger angriparen en kanal genom vilken de kan kringgå eventuella säkerhetsbegränsningar som införts av programmets författare.
några vanliga typer av kodinjektion är:
-
SQL-injektion. Osäker behandling av HTTP-parametrar vid konstruktion av frågorpå en webbplats kan tillåta en angripare att köra godtyckliga SQL-uttalandenpå en sårbar applikation.
-
Cross site scripting. Osäker behandling av HTTP-parametrar kan tillåta injektion av skadlig JavaScript i en webbapplikation.
-
kommando utförande. Osäker behandling av HTTP-parametrar kan tillåta en attackeratt köra kör godtyckliga skalkommandon påweb-servern.
konsekvenserna av en framgångsrik kodinjektion är i allmänhet katastrofala förapplikationsförfattaren. Riskerna kan mildras genom att säkerställa säker behandling av otillförlitlig inmatning och genom att öva försvar på djupet för att begränsa behörigheterna för den löpande applikationen.