Obsah:
Definice - Co znamená Vstřikování kódu?
Vkládání kódu je škodlivé vstřikování nebo zavedení kódu do aplikace. Kód zavedený nebo vstřikovaný je schopen ohrozit integritu databáze a / nebo ohrozit vlastnosti soukromí, zabezpečení a dokonce i správnost dat. Může také ukrást data a / nebo obejít přístup a kontrolu autentizace. Útoky s injekcí kódu mohou morové aplikace, které závisí na vstupu uživatele pro provedení.Techopedia vysvětluje vstřikování kódu
Existují čtyři hlavní typy útoků injekcí kódu:
- SQL injekce
- Vkládání skriptu
- Shell injekce
- Dynamické hodnocení
SQL injection je režim útoku, který se používá k poškození legitimního databázového dotazu za účelem poskytnutí padělaných dat. Vkládání skriptu je útok, při kterém útočník poskytuje programový kód na straně serveru skriptovacího stroje. Útoky prostředí Shell, známé také jako útoky příkazů operačního systému, manipulují s aplikacemi, které se používají k formulaci příkazů pro operační systém. Při dynamickém vyhodnocovacím útoku nahrazuje standardní vstup libovolný kód, což má za následek, že aplikace je spuštěna dříve. Rozdíl mezi vstřikováním kódu a vstřikováním příkazu, další formou útoku, je omezení funkčnosti vstřikovaného kódu pro uživatele se zlými úmysly.
Zranitelnosti kódu se pohybují od snadno dostupných až po těžko dostupné. Bylo vyvinuto mnoho řešení pro potlačení těchto typů útoků na vstřikování kódu, jak pro aplikační, tak pro architektonickou doménu. Některé příklady zahrnují ověření vstupu, parametrizaci, nastavení oprávnění pro různé akce, přidání další vrstvy ochrany a další.
