| dbo:abstract
|
- حقن النصوص البرمجية (بالإنجليزية: Code Injection) هي من إحدى الطرق لإيصال أو حقن الجمل البرمجية إلى برنامج أو نظام ما، مستفيداً من الافتراضات الخاطئة وغير المراقبة، التي يفترضها النظام متعلقاً بالإدخال الذي يتم لهذا النظام. السبب الرئيسي للبرمجة بالحقن هو تجنب أو تعديل الوظيفة الأساسية للبرنامج، للوصول إلى ما يحتاجه المخترق، وإذا كانت الوظيفة هي حفظ أمان النظام، فإن النتائج ستكون كارثية. (ar)
- Code-Injektion ist die Ausnutzung eines Computerfehlers, der durch die Verarbeitung ungültiger Daten verursacht wird. Die Injektion wird von einem Angreifer genutzt, um Code in ein verwundbares Computerprogramm einzuschleusen (zu „injizieren“) und zur zu bringen. Das Ergebnis einer erfolgreichen Code-Injektion kann verheerend sein, etwa durch Verbreitung von Computerviren oder -würmern. Bestimmte Arten von Code-Injection sind Interpretationsfehler, die den Benutzereingaben eine besondere Bedeutung verleihen, indem dort nicht zwischen Benutzereingaben und Systembefehlen unterschieden wird. Code-Injection-Schwachstellen treten auf, wenn eine Anwendung nicht vertrauenswürdige Daten an einen Interpreter sendet. Am häufigsten treten sie auf in SQL, LDAP, XPath, NoSQL-Abfragen, Betriebssystembefehlen, XML-Parsern, SMTP-Kopfzeilen und allgemein in den Parametern von Programmaufrufen. Injektionsschwachstellen sind in der Regel im Quellcode leichter zu entdecken als durch Tests. Scanner und Fuzzers können helfen, Injektionsschwachstellen zu finden. Injektion kann zu Datenverlust oder -beschädigung oder Zugriffsverweigerung führen – manchmal sogar zu einer kompletten Hostübernahme. Code-Injection-Techniken sind bei System-Hacking oder Cracking beliebt, um Informationen, Privilegienerweiterung oder unberechtigten Zugriff auf ein System zu erlangen. Code-Injection kann zu vielen Zwecken böswillig eingesetzt werden, z. B:
* Beliebiges Verändern von Werten in einer Datenbank durch SQL-Injection. Die Auswirkungen können von der Verunstaltung von Webseiten bis zur ernsthaften Kompromittierung sensibler Daten reichen.
* Installieren von Malware oder Ausführen von bösartigem Code auf einem Server durch Einschleusen von Server-Scripting-Code (wie PHP oder ASP).
* Privilegieneskalation zu root-Rechten durch Ausnutzung von Shell-Injection-Schwachstellen in einem setuid root-Binary unter UNIX oder Local System durch Ausnutzung eines Dienstes unter Microsoft Windows.
* Angriffe auf Web-Benutzer mit HTML-Skript-Injektion (Cross-Site-Scripting). Im Jahr 2008 wurden 5,66 % aller in diesem Jahr gemeldeten Schwachstellen als Code Injection klassifiziert, der höchste Wert in den Aufzeichnungen. Im Jahr 2015 war dies auf 0,77 % gesunken. (de)
- Code injection is the exploitation of a computer bug that is caused by processing invalid data. The injection is used by an attacker to introduce (or "inject") code into a vulnerable computer program and change the course of execution. The result of successful code injection can be disastrous, for example, by allowing computer viruses or computer worms to propagate. Code injection vulnerabilities occur when an application sends untrusted data to an interpreter. Injection flaws are most often found in SQL, LDAP, XPath, NoSQL queries, OS commands, XML parsers, SMTP headers, program arguments, etc. Injection flaws tend to be easier to discover when examining source code than via testing. Scanners and fuzzers can help find injection flaws. Injection can result in data loss or corruption, lack of accountability, or denial of access. Injection can sometimes lead to complete host takeover. Certain types of code injection are errors in interpretation, giving special meaning to user input. Similar interpretation errors exist outside the world of computer science such as the comedy routine Who's on First?. In the routine, there is a failure to distinguish proper names from regular words. Likewise, in some types of code injection, there is a failure to distinguish user input from system commands. Code injection techniques are popular in system hacking or cracking to gain information, privilege escalation or unauthorized access to a system. Code injection can be used malevolently for many purposes, including:
* Arbitrarily modifying values in a database through SQL injection. The impact of this can range from website defacement to serious compromise of sensitive data.
* Installing malware or executing malevolent code on a server by injecting server scripting code (such as PHP or ASP).
* Privilege escalation to root permissions by exploiting Shell Injection vulnerabilities in a setuid root binary on UNIX, or Local System by exploiting a service on Microsoft Windows.
* Attacking web users with HTML/script injection (Cross-site scripting). In 2008, 5.66% of all vulnerabilities reported that year were classified as Code Injection, the highest year on record. In 2015, this had decreased to 0.77%. (en)
- Un defecto de inyección de código ocurre cuando es posible enviar datos inesperados a un intérprete. Estos son muy comunes en código antiguo. Se encuentran frecuentemente en consultas SQL, LDAP, Xpath o NoSQL; comandos de sistema operativo; analizadores sintácticos de XML; cabeceras SMTP; parámetros de funciones; etc. Estos defectos son fáciles de encontrar cuando se examina el código, sin embargo son difíciles de descubrir mediante pruebas funcionales. Existen utilidades de escaneo que pueden ayudar a encontrar estos defectos. Una inyección de código puede resultar en la pérdida o corrupción de datos, falta de responsabilidad en acciones o denegación de acceso. Una inyección puede incluso tomar control total de un nodo. Algunos tipos de inyección de código son errores de interpretación, dando un significado especial a una introducción de datos por parte del usuario. Existen errores de interpretación similares fuera del mundo de la computación, cuando, por ejemplo, es difícil distinguir adecuadamente un nombre propio de un nombre común. De la misma forma, en algunos tipos de inyección de código puede haber un problema para diferenciar los parámetros introducidos por el usuario de los comandos del sistema. Las técnicas de inyección de código son populares en el hacking y para conseguir acceder a información restringida, para aumentar los privilegios o para conseguir acceder a sistemas restringidos. Este tipo de ataques pueden ser usados con objetivos malintencionados para muchas cosas, incluyendo:
* Modificar valores arbitrariamente en una base de datos mediante inyección de SQL. El impacto de esta acción puede ir desde cambios en la apariencia de una página web hasta comprometer datos sensibles.
* Instalar malware o ejecutar código malintencionado en un servidor mediante la inyección de código de scripting (como PHP o ASP).
* Aumentar los privilegios como superusuario utilizando vulnerabilidades del sistema operativo.
* Atacando usuarios de páginas web con inyecciones de código HTML o scripts. (es)
- Une injection de code est un type d'exploitation d'une faille de sécurité d'une application, non prévue par le système et pouvant compromettre sa sécurité, en modifiant son exécution. Certaines injections de code ont pour but d'obtenir une élévation des privilèges, ou d'installer un logiciel malveillant. Il s'agit aussi du mode de propagation des vers informatiques. (fr)
- インジェクション攻撃(インジェクションこうげき、英: Injection attack、または Code injection)とは、コンピュータプログラムが無効なデータを処理した場合に出現するバグを、攻撃者が悪用し不正な命令を実行する攻撃手法である。攻撃者は脆弱性のあるプログラムにソースコードを注入(インジェクト)し、実行過程に変更を加える。インジェクション攻撃が成功した場合、例えばワームの増殖のような、深刻な被害を受けることがある。 (ja)
- 코드 인젝션(영어: Code injection)은 유효하지 않은 데이터를 실행함으로써 야기되는 소프트웨어 버그의 부당한 사용이다. 삽입은 공격자에 의해서 취약한 컴퓨터 프로그램 코드를 삽입하고 실행을 변경하는 방식으로 이용된다. 성공적인 코드 인젝션은 이것을 이용한 웜의 전파 같이 종종 처참한 결과를 보여준다. 삽입 취약점은 애플리케이션이 인터프리터에 신뢰할 수 없는 데이터를 보낼 때 발생한다. 삽입 취약점은 매우 일반적이며 특히 낡은 코드에서 그렇다. 이것들은 주로 SQL, LDAP, Xpath, 또는 NoSQL 쿼리들(OS 명령어; XML 파서, SMTP 헤더, 인수 등)에서 발견된다. 삽입 취약점은 코드 검사 때에는 발견하기 쉽지만, 테스트 시에는 발견하기 어려운 경우가 많다. 취약점 스캐너와 들은 공격자가 삽입 취약점을 찾는 것을 도와준다. 삽입은 데이터 손실이나 오염, 책임의 부족 또는 DoS를 야기한다. 또한 가끔은 완전한 호스트 접수로 이어질 수 있다. 특정한 종류의 코드 인젝션은 단지 유저 입력에 특별한 의미를 주는, 해석에서의 오류이다. 몇몇 종류의 코드 인젝션에서는 사용자 입력과 시스템 명령의 구분에 대한 실패가 존재한다. 코드 인젝션은 해킹이나 크래킹에서 정보를 얻거나 권한 확대 또는 비인가 접근을 위한 인기있는 개념이다. 코드 인젝션은 아래와 같은 많은 악의적인 목적으로 사용될 수 있다.
* SQL 삽입은 데이터베이스에 독단적으로 수정된 값을 코드 인젝션하는 것이다. 이 결과는 부터 심각한 민감한 정보의 손상까지 다양하다.
* 서버에 서버 스크립트 코드(PHP나 ASP 같은)를 삽입하여 악성 소프트웨어를 설치하거나 악의적인 코드를 실행한다.
* 유닉스의 [[setuid]] root 바이너리의 셸 삽입 취약점을 이용하여 root 권한을 얻거나, 윈도우에서 돌아가는 서비스의 취약점을 이용해 Local System을 얻는 방식으로 권한 확대를 한다.
* HTML/Script 삽입을 통해 웹 사용자를 공격한다.(사이트 간 스크립팅(XSS)). (ko)
- Code-injectie is het misbruik van een computerbug waarbij data die niet valide is door een programma wordt verwerkt. Deze hacktechniek wordt door hackers toegepast om code in te voeren (te 'injecteren') in een kwetsbaar computerprogramma en het verloop van de uitvoering ervan te veranderen. Succesvolle code-injectie kan zeer ernstige gevolgen hebben, hierdoor kunnen bijvoorbeeld computerwormen worden verspreid. Code-injectie-veiligheidslekken vinden plaats als een applicatie niet-gevalideerde data naar een interpreter stuurt. Deze data wordt vaak handmatig door hackers ingevoerd, maar veelal gebeurt dit ook automatisch. Dit soort veiligheidslekken worden doorgaans gevonden in SQL-, LDAP-, XPath-, of NoSQL-query's; commando's die deel uitmaken van het OS, XML-parsers, SMTP-headers, argumenten van programma's, etc. Veel van dit soort veiligheidslekken zijn eenvoudiger te detecteren door broncode te onderzoeken dan door te testen. Scanners en fuzzers kunnen evengoed helpen deze veiligheidslekken te vinden. Code-injectie kan leiden tot verlies van gegevens of datacorruptie, traceerbaarheid tegengaan of toegang tot systemen onmogelijk maken. Ook kan deze hacktechniek ervoor zorgen dat complete systemen zoals servers of werkstations worden overgenomen. Code-injectietechnieken zijn populair bij het hacken van systemen om data te stelen, voor het ongeoorloofd verkrijgen van toegang tot systemen met meer "rechten" of het überhaupt toegang krijgen tot systemen. Voor veel doeleinden kan deze hacktechniek worden ingezet, waaronder:
* Het willekeurig veranderen van waarden in een database door middel van SQL-injectie. Het resultaat hiervan kan bijvoorbeeld website defacement zijn, maar ook het compromitteren van vertrouwelijke data.
* De installatie van malware of het uitvoeren van schadelijke code op een server, door scriptcode zoals PHP of ASP te injecteren.
* Het verkrijgen van meer toegangsrechten tot aan rootpermissies door het injecteren van shellcode in binaire bestanden die setuid root zijn op UNIX systemen of op het lokale systeem door misbruik van een service op Windows.
* Het aanvallen van gebruikers van het Web met het injecteren van HTML of Javascript (Cross-site scripting). In 2008 was 5,66% van alle beveiligingslekken die waren gerapporteerd geclassificeerd als code-injectie, dit was het jaar waarin de meeste van dergelijke beveiligingslekken waren gerapporteerd. In 2015 was dit percentage afgenomen tot 0,77%. (nl)
- Включення коду — це використання програмних помилок для обробки невірних даних. Включення коду може бути використане зловмисником для введення(включення) коду в комп'ютерну програму, щоб змінити хід її виконання. Наприклад, включення коду використовується для поширення комп'ютерних хробаків. Включення коду трапляється тоді, коли програма надсилає неперевірені дані інтерпретатору. Недоліки включення коду дуже поширені в унаслідуваному коді. Вони часто трапляються у SQL, LDAP, Xpath, або NoSQL запитах; командах операційної системи; синтаксичних аналізаторах XML, заголовках STMP, аргументах програми. Включення коду легко виявити при перегляді коду, проте його дуже важко виявити тестуванням. Сканери та фузери допомагають зловмисникам виявляти вразливості включення коду. Включення коду може призвести до пошкодження чи втрати даних, відсутності звітності або відмови в доступі. Інколи включення коду може призвести навіть до зміни хосту. Деякі типи включення коду призводять до помилок інтерпретації, надаючи спеціальне значення простому вводу користувча. Це чимось схоже на нездатність розрізняти імена і звичайні слова. За тим же принципом в деяких видах вставленого коду важко розрізнити ввід користувача і системні команди. Техніка включення коду є поширеною при та зломі з метою отримання інформації, отриманні привілейованого або аоноімного доступу до системи. Включення коду можна використовувати у зловмисних цілях, зокрема:
* Довільно змінювати вміст бази даних через так звані SQL інєкції. Наслідком може бути як порушення роботи сайту так і компроментація конфіденційних даних.
* Встановлення шкідливих програм або виконання шкідливого коду на сервері через включення скрипт коду сервера(наприклад PHP чи ASP).
* Отримання доступу до кореневої папки використовуючи вразливості включення Shell.
* Атаки інтернет-користувачів за допомогою включення HTML/Script(міжсайтовий скриптинг). (uk)
- 代碼注入(英語:Code injection)是因處理無效數據的而引發的程序錯誤。代碼注入可被攻擊者用來導入代碼到某特定的電腦程式,以改變程式的執行進程或目的。代碼注入攻擊的結果可以是災難性的。例如說:代碼注入可作為許多電腦蠕蟲繁殖的溫床。 (zh)
|
| rdfs:comment
|
- حقن النصوص البرمجية (بالإنجليزية: Code Injection) هي من إحدى الطرق لإيصال أو حقن الجمل البرمجية إلى برنامج أو نظام ما، مستفيداً من الافتراضات الخاطئة وغير المراقبة، التي يفترضها النظام متعلقاً بالإدخال الذي يتم لهذا النظام. السبب الرئيسي للبرمجة بالحقن هو تجنب أو تعديل الوظيفة الأساسية للبرنامج، للوصول إلى ما يحتاجه المخترق، وإذا كانت الوظيفة هي حفظ أمان النظام، فإن النتائج ستكون كارثية. (ar)
- Une injection de code est un type d'exploitation d'une faille de sécurité d'une application, non prévue par le système et pouvant compromettre sa sécurité, en modifiant son exécution. Certaines injections de code ont pour but d'obtenir une élévation des privilèges, ou d'installer un logiciel malveillant. Il s'agit aussi du mode de propagation des vers informatiques. (fr)
- インジェクション攻撃(インジェクションこうげき、英: Injection attack、または Code injection)とは、コンピュータプログラムが無効なデータを処理した場合に出現するバグを、攻撃者が悪用し不正な命令を実行する攻撃手法である。攻撃者は脆弱性のあるプログラムにソースコードを注入(インジェクト)し、実行過程に変更を加える。インジェクション攻撃が成功した場合、例えばワームの増殖のような、深刻な被害を受けることがある。 (ja)
- 代碼注入(英語:Code injection)是因處理無效數據的而引發的程序錯誤。代碼注入可被攻擊者用來導入代碼到某特定的電腦程式,以改變程式的執行進程或目的。代碼注入攻擊的結果可以是災難性的。例如說:代碼注入可作為許多電腦蠕蟲繁殖的溫床。 (zh)
- Code injection is the exploitation of a computer bug that is caused by processing invalid data. The injection is used by an attacker to introduce (or "inject") code into a vulnerable computer program and change the course of execution. The result of successful code injection can be disastrous, for example, by allowing computer viruses or computer worms to propagate. Injection can result in data loss or corruption, lack of accountability, or denial of access. Injection can sometimes lead to complete host takeover. (en)
- Code-Injektion ist die Ausnutzung eines Computerfehlers, der durch die Verarbeitung ungültiger Daten verursacht wird. Die Injektion wird von einem Angreifer genutzt, um Code in ein verwundbares Computerprogramm einzuschleusen (zu „injizieren“) und zur zu bringen. Das Ergebnis einer erfolgreichen Code-Injektion kann verheerend sein, etwa durch Verbreitung von Computerviren oder -würmern. Bestimmte Arten von Code-Injection sind Interpretationsfehler, die den Benutzereingaben eine besondere Bedeutung verleihen, indem dort nicht zwischen Benutzereingaben und Systembefehlen unterschieden wird. (de)
- Un defecto de inyección de código ocurre cuando es posible enviar datos inesperados a un intérprete. Estos son muy comunes en código antiguo. Se encuentran frecuentemente en consultas SQL, LDAP, Xpath o NoSQL; comandos de sistema operativo; analizadores sintácticos de XML; cabeceras SMTP; parámetros de funciones; etc. Estos defectos son fáciles de encontrar cuando se examina el código, sin embargo son difíciles de descubrir mediante pruebas funcionales. Existen utilidades de escaneo que pueden ayudar a encontrar estos defectos. (es)
- 코드 인젝션(영어: Code injection)은 유효하지 않은 데이터를 실행함으로써 야기되는 소프트웨어 버그의 부당한 사용이다. 삽입은 공격자에 의해서 취약한 컴퓨터 프로그램 코드를 삽입하고 실행을 변경하는 방식으로 이용된다. 성공적인 코드 인젝션은 이것을 이용한 웜의 전파 같이 종종 처참한 결과를 보여준다. 삽입 취약점은 애플리케이션이 인터프리터에 신뢰할 수 없는 데이터를 보낼 때 발생한다. 삽입 취약점은 매우 일반적이며 특히 낡은 코드에서 그렇다. 이것들은 주로 SQL, LDAP, Xpath, 또는 NoSQL 쿼리들(OS 명령어; XML 파서, SMTP 헤더, 인수 등)에서 발견된다. 삽입 취약점은 코드 검사 때에는 발견하기 쉽지만, 테스트 시에는 발견하기 어려운 경우가 많다. 취약점 스캐너와 들은 공격자가 삽입 취약점을 찾는 것을 도와준다. 삽입은 데이터 손실이나 오염, 책임의 부족 또는 DoS를 야기한다. 또한 가끔은 완전한 호스트 접수로 이어질 수 있다. 특정한 종류의 코드 인젝션은 단지 유저 입력에 특별한 의미를 주는, 해석에서의 오류이다. 몇몇 종류의 코드 인젝션에서는 사용자 입력과 시스템 명령의 구분에 대한 실패가 존재한다. (ko)
- Code-injectie is het misbruik van een computerbug waarbij data die niet valide is door een programma wordt verwerkt. Deze hacktechniek wordt door hackers toegepast om code in te voeren (te 'injecteren') in een kwetsbaar computerprogramma en het verloop van de uitvoering ervan te veranderen. Succesvolle code-injectie kan zeer ernstige gevolgen hebben, hierdoor kunnen bijvoorbeeld computerwormen worden verspreid. (nl)
- Включення коду — це використання програмних помилок для обробки невірних даних. Включення коду може бути використане зловмисником для введення(включення) коду в комп'ютерну програму, щоб змінити хід її виконання. Наприклад, включення коду використовується для поширення комп'ютерних хробаків. Включення коду може призвести до пошкодження чи втрати даних, відсутності звітності або відмови в доступі. Інколи включення коду може призвести навіть до зміни хосту. (uk)
|
