Зміст:
Визначення - Що означає введення коду?
Введення коду - це зловмисне введення або введення коду в додаток. Код, введений або введений, може пошкодити цілісність бази даних та / або поставити під загрозу властивості конфіденційності, безпеку та навіть правильність даних. Він також може красти дані та / або обходити контроль доступу та аутентифікації. Атаки введення коду можуть наштовхнути програми, які залежать від введення користувача для виконання.Техопедія пояснює введення коду
Існує чотири основні типи атак на введення коду:
- Введення SQL
- Введення сценарію
- Ін'єкція оболонки
- Динамічна оцінка
Введення SQL - це режим атаки, який використовується для пошкодження законного запиту бази даних для надання фальсифікованих даних. Скріп-ін'єкція - це атака, в якій зловмисник надає код програмування стороні сервера сценарію. Атаки ін'єкцій оболонки, також відомі як атаки команд операційної системи, маніпулюють програмами, які використовуються для формування команд для операційної системи. При атаці динамічної оцінки довільний код замінює стандартний вхід, в результаті чого перший виконується програмою. Різниця між введенням коду та введенням команди, іншою формою атаки, є обмеження функціональності введеного коду для зловмисного користувача.
Уразливості введення коду варіюються від простих до важко знайти. Було розроблено багато рішень для запобігання цим видам атак введення коду, як для області застосувань, так і для архітектури. Деякі приклади включають перевірку введення, параметризацію, встановлення привілеїв для різних дій, додавання додаткового рівня захисту та інші.
