Code-injectie

Code-injectie is het misbruik van een computerbug waarbij data die niet valide is door een programma wordt verwerkt. Deze hacktechniek wordt door hackers toegepast om code in te voeren (te 'injecteren') in een kwetsbaar computerprogramma en het verloop van de uitvoering ervan te veranderen. Succesvolle code-injectie kan zeer ernstige gevolgen hebben, hierdoor kunnen bijvoorbeeld computerwormen worden verspreid.

Code-injectie-veiligheidslekken vinden plaats als een applicatie niet-gevalideerde data naar een interpreter stuurt. Deze data wordt vaak handmatig door hackers ingevoerd, maar veelal gebeurt dit ook automatisch. Dit soort veiligheidslekken worden doorgaans gevonden in SQL-, LDAP-, XPath-, of NoSQL-query's; commando's die deel uitmaken van het OS, XML-parsers, SMTP-headers, argumenten van programma's, etc. Veel van dit soort veiligheidslekken zijn eenvoudiger te detecteren door broncode te onderzoeken dan door te testen.^[1] Scanners en fuzzers kunnen evengoed helpen deze veiligheidslekken te vinden.^[2]

Code-injectie kan leiden tot verlies van gegevens of datacorruptie, traceerbaarheid tegengaan of toegang tot systemen onmogelijk maken. Ook kan deze hacktechniek ervoor zorgen dat complete systemen zoals servers of werkstations worden overgenomen.

Code-injectietechnieken zijn populair bij het hacken van systemen om data te stelen, voor het ongeoorloofd verkrijgen van toegang tot systemen met meer "rechten" of het überhaupt toegang krijgen tot systemen. Voor veel doeleinden kan deze hacktechniek worden ingezet, waaronder:

• Het willekeurig veranderen van waarden in een database door middel van SQL-injectie. Het resultaat hiervan kan bijvoorbeeld website defacement zijn, maar ook het compromitteren van vertrouwelijke data.
• De installatie van malware of het uitvoeren van schadelijke code op een server, door scriptcode zoals PHP of ASP te injecteren.
• Het verkrijgen van meer toegangsrechten tot aan rootpermissies door het injecteren van shellcode in binaire bestanden die setuid root zijn op UNIX systemen of op het lokale systeem door misbruik van een service op Windows.
• Het aanvallen van gebruikers van het Web met het injecteren van HTML of Javascript (Cross-site scripting).

In 2008 was 5,66% van alle beveiligingslekken die waren gerapporteerd geclassificeerd als code-injectie, dit was het jaar waarin de meeste van dergelijke beveiligingslekken waren gerapporteerd. In 2015 was dit percentage afgenomen tot 0,77%.^[3]