目次:
定義-コードインジェクションの意味
コードインジェクションは、悪意のあるインジェクションまたはアプリケーションへのコードの導入です。 導入または挿入されたコードは、データベースの整合性を侵害したり、プライバシーの特性、セキュリティ、さらにはデータの正確性を侵害したりする可能性があります。 また、データを盗んだり、アクセスおよび認証制御をバイパスしたりできます。 コードインジェクション攻撃は、実行のためのユーザー入力に依存するアプリケーションを悩ます可能性があります。Techopediaはコードインジェクションについて説明します
コードインジェクション攻撃には、主に4つのタイプがあります。
- SQLインジェクション
- スクリプトインジェクション
- シェル注入
- 動的評価
SQLインジェクションは、正当なデータベースクエリを破壊して改ざんされたデータを提供するために使用される攻撃モードです。 スクリプトインジェクションは、攻撃者がスクリプトエンジンのサーバー側にプログラミングコードを提供する攻撃です。 オペレーティングシステムコマンド攻撃とも呼ばれるシェルインジェクション攻撃は、オペレーティングシステム用のコマンドを作成するために使用されるアプリケーションを操作します。 動的評価攻撃では、任意のコードが標準入力を置き換え、その結果、前者がアプリケーションによって実行されます。 別の攻撃形態であるコードインジェクションとコマンドインジェクションの違いは、悪意のあるユーザーに対するインジェクションコードの機能の制限です。
コードインジェクションの脆弱性は、簡単なものから見つけにくいものまであります。 アプリケーションドメインとアーキテクチャドメインの両方で、この種のコードインジェクション攻撃を阻止するための多くのソリューションが開発されています。 いくつかの例には、入力の検証、パラメーター化、さまざまなアクションの特権設定、追加の保護レイヤーの追加などが含まれます。
