A03:2021 – Injectare
Injection
Vulnerabilitățile de injectare apar atunci când datele furnizate de utilizator nu sunt validate, filtrate sau sanitizate corespunzător. Atacatorii pot trimite date ostile care fac parte din comenzi sau interogări, înșelând interpretorul să execute comenzi neintenționate sau să acceseze date fără autorizație.
Această vulnerabilitate a coborât de pe prima poziție (în 2017) pe poziția 3 în topul OWASP 2021, fiind prezentă în aproximativ 19% din aplicațiile testate, cu o rată de incidență de peste 3%.
1. SQL Injection
Injectarea de cod SQL malițios în interogări pentru a manipula baza de date. De exemplu, introducerea ' OR 1=1 -- într-un câmp de autentificare poate permite accesul neautorizat.
2. NoSQL Injection
Similar cu SQL Injection, dar vizează baze de date NoSQL. De exemplu, utilizarea unui obiect JSON malițios pentru a manipula interogări MongoDB.
3. Command Injection
Injectarea de comenzi de sistem operativ în aplicații care execută comenzi shell. De exemplu, adăugarea ; rm -rf / la un parametru care este pasat direct către o comandă de sistem.
4. LDAP Injection
Manipularea interogărilor LDAP pentru a obține acces neautorizat la directoare. De exemplu, utilizarea caracterelor speciale pentru a modifica filtrele LDAP.