Съдържание:
Определение - Какво означава инжектиране на код?
Инжектирането на кода е злонамереното инжектиране или въвеждане на код в приложение. Въведеният или инжектиран код може да компрометира целостта на базата данни и / или да компрометира свойствата на поверителността, сигурността и дори коректността на данните. Той може също да открадне данни и / или да заобиколи контрола на достъпа и удостоверяването. Атаките с инжектиране на код могат да нападат приложения, които зависят от въвеждането на потребителя за изпълнение.Техопедия обяснява инжектирането на код
Има четири основни типа атаки за инжектиране на код:
- SQL инжекция
- Инжектиране на скриптове
- Инжектиране на черупки
- Динамична оценка
SQL инжектирането е режим на атака, който се използва за повреждане на легитимно запитване към база данни за предоставяне на фалшифицирани данни. Скрипт инжекция е атака, при която нападателят предоставя програмен код на сървърната страна на скриптовия двигател. Атака с инжектиране на черупки, известна още като атаки на командни операционни системи, манипулира приложения, които се използват за формулиране на команди за операционната система. В атака за динамична оценка, произволен код замества стандартния вход, което води до това, че първото се изпълнява от приложението. Разликата между инжектиране на код и командна инжекция, друга форма на атака, е ограничаването на функционалността на инжектирания код за злонамерения потребител.
Уязвимостите за инжектиране на кодове варират от лесни до трудни за намиране. Разработени са много решения за предотвратяване на тези видове атаки на инжектиране на код, както за приложение, така и за архитектура. Някои примери включват валидиране на входа, параметризация, настройка на привилегии за различни действия, добавяне на допълнителен слой защита и други.
