Атака с использованием инъекции или инъекционная атака (Injection Attacks) - это процесс, при котором злоумышленник подставляет свои данные, сформированные "не по правилам" и выходящие за рамки корректности, вместо ожидаемых. Иными словами это внедрение вредоносного кода в уязвимую компьютерную программу для изменения её хода выполнения.
К примеру, злоумышленники могут внедрить в веб-приложение вредоносный код, чтобы поставить под угрозу атакуемую систему. Тем самым, злоумышленник обманывает систему, заставляя ее думать, что команда была инициирована доверенным пользователем, например владельцем системы и слепо обработать её.
Целью данной атаки является - получение несанкционированного доступа, раскрытие и получение конфиденциальной информации, повреждение данных, получение контроля над сервером и отказа в доступе.
Данную атаку можно встретить в запросах LDAP, XPath, в анализаторах XML и чаше всего в запросах SQL. Итак, инъекционные атаки можно разделять на большое количество разновидностей, но в данной статье мы кратко приведены следующие популярные разновидности:
- SQL-инъекции. Это разновидность инъекционной атаки на базы данных веб-приложений использующие SQL. (Язык SQL применяется для работы с реляционными базами данных и обычно представляется в виде виртуальной таблицы, сама таблица состоит из ряда именованных столбцов и строк данных. К примеру, с помощью этого языка можно отправлять запрос на ввод текста в поле таблицы базы данных.) Простыми словами, суть этой атаки заключается в том, что злоумышленник внедряет в запрос вредоносный код.
- XSS или межсайтовый скриптинг. Это разновидность инъекционной атаки на веб-приложения, заключающийся во внедрении в веб-страницу вредоносного кода, который будет выполнятся на компьютере пользователя при открытии им этой страницы и взаимодействии этого кода с веб-сервером злоумышленника. Эта атака становится возможной в реализации злоумышленниками при сценарии, когда веб-сервер принимает небольшие сообщения от пользователей не проверяя и не кодируя само сообщение.
- XPath-инъекция. Это разновидность инъекционной атаки направленная на приложения, создающие XPath запросы от пользовательских данных. (XPath - язык запросов для XML документов, похожий на SQL для баз данных, разработан XPath для возможности обращения к разным частям документа на языке XML. XML - это формат, предназначенный для хранения структурированных данных, для обмена информацией между программами.)
- LDAP-инъекция. Это разновидность инъекционной атаки на приложения, использующие LDAP. (LDAP - это протокол для доступа к службе каталогов, её цель упростить процесс администрирования. Он представляет из себя ту же базу данных, хранящую в себе информацию о пользователях, например хранить имена пользователей и паролей. Для LDAP запроса используют специальные управляющие символы, которые влияют на его управление.) Злоумышленники могут потенциально изменить предполагаемое поведение запроса LDAP, если они могут вставить в него конкретные управляющие символы.
Данные инъекционные атаки направлены на серверы и приложения с открытым доступом для любого пользователя в сети Интернет. Ответственность за предотвращение данных атак ложится на плечи разработчиков приложений и администраторов серверов.
Подписывайся на нас и узнавай новости первым!
Страница ВКонтакте - Защита информации Якутии
Страница Одноклассники - Защита информации Якутии
Подписывайтесь на YouTube-канал - Защита информации Якутии
Rutube-канал - Защита информации Якутии
Telegram канал - Защита информации Якутии