:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4d/65/4d659da289f5aca04c24cbb2ef2fd540/0111240624.jpeg "Der Blick von außen auf die eigenen IT-Ressourcen geht über das hinaus, was im Schwachstellenmanagement sichtbar ist. (Bild: rufous - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/60/a8/60a85b048367a1658787275099d1d11c/0111864407.jpeg "ISX-Keynote-Sprecher Dr. Siegfried Rasthofer ist ein IT-Sicherheitsexperte mit langjähriger Erfahrung in den Bereichen Software-Exploitation, Secure Software Engineering, Reverse Engineering, Malware-Analyse, Offensive Security und Threat Intelligence. (Bild: www.rasthofer.info)")
:quality(80)/p7i.vogel.de/wcms/c2/4f/c24fa71856579436103293b63bbd631a/0112178358.jpeg "Die Kommunikationsschnittstelle MOVEit war kompromittiert. Die AOK hat deswegen die Verbindung vorläufig getrennt. Auch Verbraucherdaten waren möglicherweise offen zugänglich. (© Sven Krautwald - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b4/a4/b4a406fca20011692876d63ea87b8554/0111848384.jpeg "Mit Blockierlisten und Geo-IP-Filtern für Firewalls lassen sich viele Angriffe ganz einfach automatisch abwehren. (Bild: bluebay2014 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b0/09/b00951f70ae122ab3b6706b07c40503c/0111698906.jpeg "Künstliche Intelligenz (KI) und maschinelles Lernen (ML) bieten enorme Möglichkeiten für die Cybersicherheit. (Bild: sabida - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/57/a4/57a4e6276b930350b50582363804c855/0111698941.jpeg "Kim Braunias ist Informationssicherheitsbeauftragte bei der Kölner FLOYT Mobility GmbH und Keynote-Speakerin auf der ISX IT-Security Conference 2023. (Bild: Privat)")
:quality(80)/p7i.vogel.de/wcms/f4/f9/f4f9e3c1460bf363f97d92be0d5a4b7a/0111847742.jpeg "Kriminelle suchen generell nach den schwächsten Zielen. Es nützt also wenig, wenn das TK-Unternehmen bestens aufgestellt ist, Cyberkriminelle aber über junge Zielgruppen, Endgeräte hacken. (Bild: sitthiphong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/eb/0b/eb0bb7ab7ff77490e91062e1b52f86f9/0111572670.jpeg "Apps können anomales Verhalten annehmen, auch wenn sie vertrauenswürdig scheinen. Bitdefender bietet nun einen Zusatzschutz, der helfen soll, bösartige Verhaltensmerkmle schnell zu erfassen. (Bild: SergeyBitos - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6d/aa/6daa5aa29b25141662484e5704d48298/0111398469.jpeg "In diesem Tool-Tipp zeigen wir, welche Möglichkeiten die Linux-Distrtibution Tails für sichere und anonyme Verbindungen zum Internet bietet. (Bild: sarayut_sy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0b/6b/0b6bf208569e3cc4cc80ea59da56d22a/0111697439.jpeg "Mit Passage von 1Password können Unternehmen Passkey-Funktionen mit wenigen Zeilen Code in ihre Apps implementieren (Bild: Hein - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/15/2b15a08e13f7973b6a2ced3f57867735/0111274612.jpeg "Das Unternehmen Grammarly beschloss den Wechsel von OTP- zu FIDO2-Authentifizierung. Was waren die Gründe für die Umstellung, die technische Anforderungen und welche zentralen Key-Learnings gab es? (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f2/e8/f2e8387ef3cf06898b1122263188a7ba/0111212748.jpeg "Über Gruppenrichtlinien ändert die Microsoft-Lösung LAPS (Local Administrator Password Solution) lokale Kennwörter zu sicheren Zeichenfolgen ab. Der Zugriff auf diese Passwörter ist nur berechtigten Administratoren im Active Directory möglich. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b3/c6/b3c641a4d3910d7e2aecfe566eacc8ef/0111572419.jpeg "Durch Cyberversicherungen versuchen viele Unternehmen das Geschäftsrisiko digitaler Bedrohungen abzufedern – doch Konditionen und Anforderungen steigen. (Bild: VideoFlow - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/84/9384bb94ea017e26e687483b37d810c5/0111697481.jpeg "Die ISO 27001-Norm ist ein lohnenswerter und unerlässlicher Standard, vor allem für Unternehmen im Finanzsektor. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bc/27/bc276af26a560cace6721af0a0e60fab/0111322090.jpeg "Observability erweitert und ergänzt das klassische Monitoring um Bigdata und KI – und erlaubt somit einen umfassend datengestützen Blick auf Detailfragen. (Bild: © lexiconimages - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/2b/2b2b99a6d3d8e6ea3cc8f88382fb19fb/0111189707.jpeg "Ransomware-as-a-Service (RaaS) ist eine Form von Cybercrime-as-a-Service bei der Teile von Ransomware-Kampagnen als Dienstleistung eingekauft werden können. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/25/37/25379f26b78cbb4f91e3e8446f5aa637/0111189642.jpeg "(Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Definition Code Injection Was ist Code Injection?
Code Injection erlaubt aufgrund von Schwachstellen in Computerprogrammen oder in Webanwendungen das Einschleusen und Ausführen von unerwünschtem Programmcode. Möglich wird dies beispielsweise, wenn die Eingaben eines Anwenders nicht ausreichend geprüft und dem Interpreter übergeben werden. Gängige Beispiele für das Einschleusen von Programmcode sind im Webumfeld das Cross Site Scripting (XSS) und SQL Injection.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/122700/122743/65.jpg "rapid7-logo-si.jpg ()")
Code Injection ist die Bezeichnung für die Ausnutzung von Schwachstellen in Computerprogrammen oder Webanwendungen, die es erlauben, nicht vorgesehenen oder unerwünschten Programmcode einzuschleusen und auszuführen. Die Ausführung von unerwünschtem Programmcode kann schwerwiegende Folgen wie das Einschleusen von Malware, das Stehlen von Informationen oder das Manipulieren von Daten und Anwendungen haben. Unter Umständen gelingt einem Angreifer die komplette Übernahme von Systemen wie Webservern. Im Umfeld von Internetanwendungen gehört Code Injection zu den beliebtesten und am häufigsten genutzten Angriffsverfahren. Damit das Einschleusen von Programmcode gelingt, müssen die angegriffenen Anwendungen Schwachstellen besitzen, die beispielsweise die Eingaben der Anwender nicht ausreichend prüfen und die Übergabe dieser Daten an den Interpreter gestatten. Gängige Beispiele für das unerwünschte Einschleusen von Programmcode sind im Webumfeld das Cross Site Scripting (XSS), SQL Injection, XPath Injection, E-Mail Injection, XML Injection oder LDAP Injection.
Mögliche Folgen von Code Injection
Je nach Art der Injection und der angegriffener Anwendung kann Code Injection sehr weitreichende Folgen haben. Mögliche Folgen sind:
- unbefugtes Auslesen sensibler Daten
- Manipulieren oder Löschen gespeicherter Daten
- Ausführen unerwünschter Programmfunktionen
- Verschaffen von erweiterten Benutzerrechten am System
- Einschleusen von Malware
- Übernahme von kompletten Rechnern
- Denial of Service
Gängige Beispiele für das Einschleusen von unerwünschtem Programmcode
Code Injection ist der Überbegriff für viele verschiedene Arten, nicht vorgesehenen oder unerwünschten Programmcode in Anwendungen einzuschleusen. Häufige angewandte Arten sind SQL Injection und Cross Site Scripting. Bei SQL Injection gelingt es einem Angreifer, SQL-Datenbankbefehle beispielsweise über ein Texteingabefeld an die Webanwendung mit ihrer dahinter liegenden SQL-Datenbank zu übergeben. Diese Befehle werden anschließend in der Datenbank ausgeführt und lassen sich nutzen, um Daten zu lesen, zu verändern oder zu löschen. Unter Umständen können Datenbankverwaltungsvorgänge ausgeführt werden. Die im Webumfeld häufig verwendeten PHP-Anwendungen mit ihren in SQL-Datenbanken gespeicherten Daten wie Content Management Systeme (CMS) sind für SQL Injection anfällig. Cross Site Scripting, abgekürzt XSS, erlaubt die Ausführung unerwünschter Skripte auf vertrauenswürdigen Websites. Diese Skripte lassen sich nutzen, um vertrauliche Informationen zu stehlen oder Cookies und Sitzungstoken zu übernehmen. Weitere Beispiele für Code Injection sind XPath Injection, E-Mail Injection, XML Injection oder LDAP Injection.
Schutz vor Code Injection
In der Regel lässt sich Code Injection auf eine Schwachstelle zurückführen, die die eingegebenen Daten nicht ausreichend prüft oder sie auf eine gefährliche Art verarbeitet. Wichtigste Schutzmaßnahme ist die Validierung der Eingabedaten. Die eingegebenen Daten müssen auf die erlaubten Zeichen, die erlaubten Formate und die erlaubten Eingabemengen begrenzt werden. Gängige Praxis ist das Whitelisting erlaubter Eingaben. Darüber hinaus sollte eine Übergabe der erhaltenen Daten nur an die tatsächlich erwünschten Interpreter-Funktionen möglich sein. Zur Prüfung von Computerprogrammen und Webanwendungen auf Code-Injection-Schwachstellen kommen Scanner zum Einsatz, die den Anwendungscode oder die interaktiven Eingabemöglichkeiten systematisch und strukturiert auf unerlaubte Codeeingaben prüfen.
(ID:47387023)
:quality(80)/images.vogel.de/vogelonline/bdb/1913800/1913841/original.jpg "Im „2021 Software Vulnerability Snapshot“ geht Synopsys auf die Schwachstellen ein, die mithilfe verschiedener Testmethoden bei Kunden gefunden wurden. (Synopsys)")
:quality(80)/images.vogel.de/vogelonline/bdb/1929600/1929685/original.jpg "Gerade im Open-Source-Umfeld suchen Cyber-Kriminelle gerne nach Angriffspunkten in der Software-Lieferkette (artinspiring – stock.adobe.com)")