Was ist Code Injection?
Code Injection ist die böswillige Injektion oder Einführung von Code in eine Anwendung. Der eingebrachte oder injizierte Code kann die Integrität der Datenbank und/oder die Eigenschaften der Privatsphäre, die Sicherheit und sogar die Korrektheit der Daten beeinträchtigen.
Er kann auch Daten stehlen und/oder die Zugriffs- und Authentifizierungskontrolle umgehen. Code Injection Angriffe können Anwendungen befallen, deren Ausführung von Benutzereingaben abhängt.
Techopedia erklärt Code Injection
Es gibt vier Haupttypen von Code Injection Angriffen:
- SQL Injection
- Skript Injection
- Shell Injection
- Dynamische Auswertung
SQL Injection ist eine Angriffsart, bei der eine legitime Datenbankabfrage verfälscht wird, um gefälschte Daten zu liefern.
Skriptinjection ist ein Angriff, bei dem der Angreifer Programmiercode auf der Serverseite der Skripting-Engine bereitstellt.
Shell Injection Angriffe, auch bekannt als Betriebssystem-Befehlsangriffe, manipulieren Anwendungen, die zur Formulierung von Befehlen für das Betriebssystem verwendet werden.
Bei einem Angriff mit dynamischer Auswertung ersetzt ein beliebiger Code die Standardeingabe, was dazu führt, dass der Code von der Anwendung ausgeführt wird. Der Unterschied zwischen der Code-Injektion und der Befehlsinjektion, einer anderen Form des Angriffs, besteht in der Einschränkung der Funktionalität des injizierten Codes für den böswilligen Benutzer.
Code Injection Schwachstellen reichen von leicht bis schwer zu finden. Es wurden viele Lösungen entwickelt, um diese Arten von Code Injection Angriffen zu vereiteln, sowohl für den Anwendungs- als auch für den Architekturbereich.
Einige Beispiele sind die Eingabevalidierung, die Parametrisierung, die Festlegung von Privilegien für verschiedene Aktionen, das Hinzufügen einer zusätzlichen Schutzschicht und andere.