Turinys:
Apibrėžimas - ką reiškia kodo įpurškimas?
Kodo įpurškimas yra kenkėjiškas kodo įvedimas ar įvedimas programoje. Įvestas arba įvestas kodas gali pakenkti duomenų bazės vientisumui ir (arba) pakenkti privatumo savybėms, saugumui ir netgi duomenų teisingumui. Jis taip pat gali pavogti duomenis ir (arba) apeiti prieigą ir autentifikavimo kontrolę. Kodo įpurškimo išpuoliai gali užkrėsti programas, kurių vykdymas priklauso nuo vartotojo įvesties.„Techopedia“ paaiškina kodo injekciją
Yra keturi pagrindiniai kodo įpurškimo išpuolių tipai:
- SQL injekcija
- Scenarijaus injekcija
- Korpuso injekcija
- Dinaminis vertinimas
SQL įpurškimas yra atakos būdas, naudojamas sugadinant teisėtą duomenų bazės užklausą, kad būtų pateikti suklastoti duomenys. Scenarijaus įpurškimas yra ataka, kurios metu užpuolikas pateikia programavimo kodą scenarijaus variklio serverio pusei. „Shell“ injekcijos išpuoliai, dar vadinami operacinės sistemos komandų atakomis, manipuliuoja programomis, kurios naudojamos formuoti operacinės sistemos komandas. Dinaminio įvertinimo atakoje standartinis įvestis pakeičia savavališką kodą, kurio rezultatas yra tas, kurį programa vykdo. Skirtumas tarp kodo injekcijos ir komandinės injekcijos - kitos atakos formos - yra kenksmingo vartotojo įvesto kodo funkcionalumo apribojimas.
Kodo įpurškimo pažeidžiamumas svyruoja nuo nesudėtingų iki sunkiai randamų. Buvo sukurta daugybė sprendimų, kaip užkirsti kelią šių tipų kodo įpurškimo išpuoliams tiek taikymo, tiek architektūros srityje. Kai kurie pavyzdžiai apima įvesties patvirtinimą, parametrų nustatymą, privilegijų nustatymą įvairiems veiksmams, papildomo apsaugos lygio pridėjimą ir kitus.
