Code-Injektion

Code-Injektion ist das Einschleusen und Ausführen von unerwünschtem Programmcode, durch die Ausnutzung eines Computerfehlers. Dabei werden externe Daten von einem Angreifer genutzt, um Code in ein verwundbares Computerprogramm einzuschleusen (zu „injizieren“) und zur Ausführung zu bringen. Das Ergebnis einer erfolgreichen Code-Injektion kann verheerend sein, etwa durch Verbreitung von Schadsoftware.

Bestimmte Arten von Code-Injection sind Interpretationsfehler, die den Benutzereingaben eine besondere Bedeutung verleihen, indem dort nicht zwischen Benutzereingaben und Systembefehlen unterschieden wird.

Code-Injection-Schwachstellen treten auf, wenn eine Anwendung nicht vertrauenswürdige Daten an einen Interpreter sendet. Am häufigsten treten sie auf in SQL, LDAP, XPath, NoSQL-Abfragen, Betriebssystembefehlen, XML-Parsern, SMTP-Kopfzeilen und allgemein in den Parametern von Programmaufrufen. Injektionsschwachstellen sind in der Regel im Quellcode leichter zu entdecken als durch Tests.^[1] Scanner und Fuzzers können helfen, Injektionsschwachstellen zu finden.^[2]

Injektion kann zu Datenverlust oder -beschädigung oder Zugriffsverweigerung führen – manchmal sogar zu einer kompletten Hostübernahme.

Code-Injection-Techniken sind bei System-Hacking oder Cracking beliebt, um Informationen, Privilegienerweiterung oder unberechtigten Zugriff auf ein System zu erlangen. Code-Injection kann zu vielen Zwecken böswillig eingesetzt werden, z. B:

Beliebiges Verändern von Werten in einer Datenbank durch SQL-Injection. Die Auswirkungen können von der Verunstaltung von Webseiten bis zur ernsthaften Kompromittierung sensibler Daten reichen.
Installieren von Malware oder Ausführen von bösartigem Code auf einem Server durch Einschleusen von Server-Scripting-Code (wie PHP oder ASP).
Privilegieneskalation zu root-Rechten durch Ausnutzung von Shell-Injection-Schwachstellen in einem setuid root-Binary unter UNIX oder Local System durch Ausnutzung eines Dienstes unter Microsoft Windows.
Angriffe auf Web-Benutzer mit HTML-Skript-Injektion (Cross-Site-Scripting).

Im Jahr 2008 wurden 5,66 % aller in diesem Jahr gemeldeten Schwachstellen als Code Injection klassifiziert, der höchste Wert in den Aufzeichnungen. Im Jahr 2015 war dies auf 0,77 % gesunken.^[3]

↑ Top 10 Web Application Security Vulnerabilities. In: Penn Computing. University of Pennsylvania, archiviert vom Original am 24. Februar 2018; abgerufen am 10. Dezember 2016 (englisch).
↑ OWASP Top 10 2013 A1: Injection Flaws. OWASP, abgerufen am 19. Dezember 2013 (englisch).
↑ NVD - Statistics Search. In: web.nvd.nist.gov. Abgerufen am 9. Dezember 2016 (englisch).

[1] Top 10 Web Application Security Vulnerabilities. In: Penn Computing. University of Pennsylvania, archiviert vom Original am 24. Februar 2018; abgerufen am 10. Dezember 2016 (englisch).

[OWASP10_A1-2] OWASP Top 10 2013 A1: Injection Flaws. OWASP, abgerufen am 19. Dezember 2013 (englisch).

[3] NVD - Statistics Search. In: web.nvd.nist.gov. Abgerufen am 9. Dezember 2016 (englisch).

[1]

[2]

[3]