Koda iesmidzināšana

Autors: Monica Porter
Radīšanas Datums: 22 Martā 2021
Atjaunināšanas Datums: 27 Jūnijs 2024
Anonim
QTNA #4: Code Injection
Video: QTNA #4: Code Injection

Saturs

Definīcija - ko nozīmē koda ievadīšana?

Kodu ievadīšana ir ļaunprātīga koda ievadīšana vai ievadīšana lietojumprogrammā. Ieviestais vai ievadītais kods var apdraudēt datu bāzes integritāti un / vai apdraudēt privātuma īpašības, drošību un pat datu pareizību. Tas var arī nozagt datus un / vai apiet piekļuves un autentifikācijas kontroli. Kodu ievadīšanas uzbrukumi var nomocīt programmas, kuru izpilde ir atkarīga no lietotāja ievadīšanas.

Ievads Microsoft Azure un Microsoft Cloud | Šajā rokasgrāmatā jūs uzzināsit, kas ir mākonis skaitļošana un kā Microsoft Azure var palīdzēt jums migrēt un vadīt savu biznesu no mākoņa.

Techopedia izskaidro koda iesmidzināšanu

Ir četri galvenie koda ievadīšanas uzbrukumu veidi:


  • SQL injekcija
  • Skripta injekcija
  • Apvalka injekcija
  • Dinamiska novērtēšana

SQL injekcija ir uzbrukuma veids, ko izmanto, lai sabojātu likumīgu datu bāzes vaicājumu, lai nodrošinātu viltotus datus. Skripta ievadīšana ir uzbrukums, kurā uzbrucējs nodrošina programmēšanas kodu skriptu meklētāja servera pusē. Čaulas injekcijas uzbrukumi, kas pazīstami arī kā operētājsistēmas komandu uzbrukumi, manipulē ar lietojumprogrammām, kuras tiek izmantotas, lai formulētu komandas operētājsistēmai. Dinamiskas novērtēšanas uzbrukumā patvaļīgs kods aizstāj standarta ievadi, kā rezultātā programma to izpilda. Atšķirība starp koda ievadīšanu un komandu injekciju, kas ir vēl viena uzbrukuma forma, ir ļaunprātīga lietotāja ievadītā koda funkcionalitātes ierobežojums.

Koda ievadīšanas ievainojamības svārstās no viegli līdz grūti atrodamām. Ir izstrādāti daudzi risinājumi, lai kavētu šāda veida koda ievadīšanas uzbrukumus gan lietojumprogrammu, gan arhitektūras jomā. Daži piemēri ietver ievades validāciju, parametru noteikšanu, privilēģiju iestatīšanu dažādām darbībām, papildu aizsardzības slāņa pievienošanu un citus.