Table des matières:
Définition - Que signifie l'injection de code?
L'injection de code est l'injection ou l'introduction malveillante de code dans une application. Le code introduit ou injecté est capable de compromettre l'intégrité de la base de données et / ou de compromettre les propriétés de confidentialité, la sécurité et même l'exactitude des données. Il peut également voler des données et / ou contourner le contrôle d'accès et d'authentification. Les attaques par injection de code peuvent nuire aux applications qui dépendent de l'entrée de l'utilisateur pour l'exécution.Techopedia explique l'injection de code
Il existe quatre principaux types d'attaques par injection de code:
- Injection SQL
- Injection de script
- Injection de coque
- Évaluation dynamique
L'injection SQL est un mode d'attaque utilisé pour corrompre une requête de base de données légitime afin de fournir des données falsifiées. L'injection de script est une attaque dans laquelle l'attaquant fournit du code de programmation au côté serveur du moteur de script. Les attaques par injection de shell, également appelées attaques de commande du système d'exploitation, manipulent les applications utilisées pour formuler des commandes pour le système d'exploitation. Dans une attaque d'évaluation dynamique, un code arbitraire remplace l'entrée standard, ce qui entraîne l'exécution de la première par l'application. La différence entre l'injection de code et l'injection de commande, une autre forme d'attaque, est la limitation de la fonctionnalité du code injecté pour l'utilisateur malveillant.
Les vulnérabilités d'injection de code vont de simples à difficiles à trouver. De nombreuses solutions ont été développées pour contrecarrer ces types d'attaques par injection de code, à la fois pour le domaine de l'application et de l'architecture. Certains exemples incluent la validation des entrées, le paramétrage, la définition des privilèges pour différentes actions, l'ajout d'une couche de protection supplémentaire et d'autres.
