Code Injection

Transparenz

Was ist Code Injection?

Code Injection ist die böswillige Injektion oder Einführung von Code in eine Anwendung. Der eingebrachte oder injizierte Code kann die Integrität der Datenbank und/oder die Eigenschaften der Privatsphäre, die Sicherheit und sogar die Korrektheit der Daten beeinträchtigen.

Er kann auch Daten stehlen und/oder die Zugriffs- und Authentifizierungskontrolle umgehen. Code Injection Angriffe können Anwendungen befallen, deren Ausführung von Benutzereingaben abhängt.

Techopedia erklärt Code Injection

Es gibt vier Haupttypen von Code Injection Angriffen:

  • SQL Injection
  • Skript Injection
  • Shell Injection
  • Dynamische Auswertung

SQL Injection ist eine Angriffsart, bei der eine legitime Datenbankabfrage verfälscht wird, um gefälschte Daten zu liefern.

Skriptinjection ist ein Angriff, bei dem der Angreifer Programmiercode auf der Serverseite der Skripting-Engine bereitstellt.

Shell Injection Angriffe, auch bekannt als Betriebssystem-Befehlsangriffe, manipulieren Anwendungen, die zur Formulierung von Befehlen für das Betriebssystem verwendet werden.

Bei einem Angriff mit dynamischer Auswertung ersetzt ein beliebiger Code die Standardeingabe, was dazu führt, dass der Code von der Anwendung ausgeführt wird. Der Unterschied zwischen der Code-Injektion und der Befehlsinjektion, einer anderen Form des Angriffs, besteht in der Einschränkung der Funktionalität des injizierten Codes für den böswilligen Benutzer.

Code Injection Schwachstellen reichen von leicht bis schwer zu finden. Es wurden viele Lösungen entwickelt, um diese Arten von Code Injection Angriffen zu vereiteln, sowohl für den Anwendungs- als auch für den Architekturbereich.

Einige Beispiele sind die Eingabevalidierung, die Parametrisierung, die Festlegung von Privilegien für verschiedene Aktionen, das Hinzufügen einer zusätzlichen Schutzschicht und andere.

Verwandte Begriffe

Margaret Rouse
Redaktion
Margaret Rouse
Redaktion

Margaret Rouse ist eine preisgekrönte technische Autorin und Dozentin. Sie ist für ihre Fähigkeit bekannt, komplexe technische Themen simpel und nachvollziehbar zu erklären. In den letzten zwanzig Jahren sind ihre Erklärungen auf TechTarget-Websites erschienen und sie wurde in Artikeln der New York Times, des Time Magazine, USA Today, ZDNet, PC Magazine und Discovery Magazine als Quelle und Expertin zitiert. Wenn Sie einen Vorschlag für eine neue Definition haben oder eine technische Erklärung verbessern möchten, schicken Sie einfach Margaret eine E-Mail oder kontaktieren Sie sie auf LinkedIn oder Twitter.