Code-Injection

Was ist Code-Injection?
Code-Injection ist die bösartige Injektion oder Einführung von Code in eine Anwendung. Der eingeführte oder injizierte Code ist in der Lage, die Datenbankintegrität zu kompromittieren und / oder Datenschutzeigenschaften, Sicherheit und sogar Datenkorrektheit zu kompromittieren. Es kann auch Daten stehlen und / oder Zugriffs- und Authentifizierungssteuerung umgehen. Code-Injection-Angriffe können Anwendungen beeinträchtigen, die zur Ausführung von Benutzereingaben abhängig sind.

Es gibt vier Arten von Code-Injection-Angriffen:

– SQL-Injektion
– Skript-Injektion
– Shell-Injektion
– Dynamische Auswertung

SQL Injection ist eine Angriffsmethode, die verwendet wird, um eine berechtigte Datenbankabfrage zu verfälschen, um gefälschte Daten bereitzustellen. Script Injection ist ein Angriff, bei dem der Angreifer Programmcode für die Serverseite der Skript-Engine bereitstellt. Shell-Injection-Angriffe, auch bekannt als Betriebssystem-Befehlsattacken, manipulieren Anwendungen, mit denen Befehle für das Betriebssystem formuliert werden. Bei einem dynamischen Auswertungsangriff ersetzt ein willkürlicher Code die Standardeingabe, wodurch die erste von der Anwendung ausgeführt wird. Der Unterschied zwischen Code-Injection und Command-Injection, einer anderen Form des Angriffs, ist die Einschränkung der Funktionalität des injizierten Codes für den böswilligen Benutzer.

Code-Injection-Schwachstellen reichen von einfach bis schwer zu finden. Viele Lösungen wurden entwickelt, um diese Art von Code-Injection-Angriffen sowohl für die Anwendung als auch für die Architektur zu verhindern. Einige Beispiele umfassen Eingabevalidierung, Parametrisierung, Privilegieneinstellung für verschiedene Aktionen, Hinzufügen einer zusätzlichen Schutzebene und andere.


War die Erklärung zu "Code-Injection" hilfreich? Jetzt bewerten:

Weitere Erklärungen zu