Indsprøjtning af kode

Indhold

• Definition - Hvad betyder kodeindsprøjtning?
• En introduktion til Microsoft Azure og Microsoft Cloud | Gennem denne vejledning lærer du, hvad cloud computing handler om, og hvordan Microsoft Azure kan hjælpe dig med at migrere og drive din virksomhed fra skyen.
• Techopedia forklarer kodeinjektion

Definition - Hvad betyder kodeindsprøjtning?

Kodeinjektion er den ondsindede injektion eller introduktion af kode i en applikation. Koden, der er introduceret eller indsprøjtet, er i stand til at kompromittere databasens integritet og / eller kompromittere privatlivets egenskaber, sikkerhed og endda datakorrektion. Det kan også stjæle data og / eller omgå adgangs- og godkendelseskontrol. Kodeinjektionsangreb kan plage applikationer, der afhænger af brugerinput til eksekvering.

En introduktion til Microsoft Azure og Microsoft Cloud | Gennem denne vejledning lærer du, hvad cloud computing handler om, og hvordan Microsoft Azure kan hjælpe dig med at migrere og drive din virksomhed fra skyen.

Techopedia forklarer kodeinjektion

Der er fire hovedtyper af angreb til kodeinjektion:

• SQL-injektion
• Manuskriptinjektion
• Shell-injektion
• Dynamisk evaluering

SQL-injektion er en angrebetilstand, der bruges til at ødelægge en legitim databaseforespørgsel til at give forfalskede data. Scriptinjektion er et angreb, hvor angriberen leverer programmeringskode til serversiden af ​​scriptingmotoren. Shell-injektionsangreb, også kendt som operativsystemkommandoangreb, manipulerer applikationer, der bruges til at formulere kommandoer til operativsystemet. I et dynamisk evalueringsangreb erstatter en vilkårlig kode standardinputet, hvilket resulterer i, at førstnævnte udføres af applikationen. Forskellen mellem kodeinjektion og kommandoinjektion, en anden form for angreb, er begrænsningen af ​​funktionaliteten af ​​den injicerede kode for den ondsindede bruger.

Sårbarheder med kodeindsprøjtning spænder fra let til vanskeligt at finde. Der er udviklet mange løsninger til at afværge disse typer angreb til kodeindsprøjtning, både til applikations- og arkitekturdomæne. Nogle eksempler inkluderer inputvalidering, parameterisering, privilegeringsindstilling til forskellige handlinger, tilføjelse af ekstra lag af beskyttelse og andre.