Что такое Инъекция

Question

Инъекция — это уязвимость безопасности, возникающая когда ненадежные данные передаются в интерпретатор как часть команды или запроса. Злоумышленник может внедрить вредоносный код, который будет выполнен приложением. Самый распространенный тип — SQL-инъекция, когда модифицируются запросы к базе данных. Это позволяет атакующему читать, изменять или удалять данные. Для защиты необходимо всегда проверять и экранировать пользовательский ввод, использовать параметризованные запросы.

YeaHub · Accepted Answer

Инъекция — это класс уязвимостей веб-безопасности, при котором злоумышленник имеет возможность внедрить и выполнить произвольный код в контексте приложения.1. Основные типы инъекцийSQL-инъекция: Внедрение кода в SQL-запросыNoSQL-инъекция: Атаки на базы данных NoSQL через их APIИнъекция в командную строку: Выполнение системных команд на сервереXSS (Cross-Site Scripting): Внедрение JavaScript в веб-страницыLDAP-инъекция: Манипуляция запросами к службам каталогов2. Механизм атаки SQL-инъекцииРассмотрим уязвимый код:# НЕПРАВИЛЬНО - уязвимый код
query = "SELECT * FROM users WHERE username = '" + username + "' AND password = '" + password + "'"Атакующий может ввести в поле пароля: ' OR '1'='1Итоговый запрос станет:SELECT * FROM users WHERE username = 'admin' AND password = '' OR '1'='1'Это условие всегда истинно, что позволяет обойти аутентификацию.3. Методы защитыИспользование параметризованных запросов:# ПРАВИЛЬНО - безопасный код
cursor.execute("SELECT * FROM users WHERE username = %s AND password = %s", (username, password))Валидация входных данных: Проверка типа, длины и форматаЭкранирование специальных символов: Преобразование опасных символовПринцип наименьших привилегий: Ограничение прав учетной записи БДИспользование ORM: Библиотеки типа SQLAlchemy автоматически экранируют данныеВывод: Инъекции — крайне опасные уязвимости, которые могут привести к полному компрометированию приложения и данных. Для защиты необходимо всегда использовать параметризованные запросы, тщательно валидировать весь пользовательский ввод и следовать принципам безопасного программирования.