삽입은 기본 구성 요소 또는 서비스에 의해 이러한 명령이 실행될 의도로 소프트웨어 애플리케이션 또는 SaaS가 양식 또는 API와 같이 사용자로부터 수신할 것으로 예상하는 입력에 명령을 추가(또는 "주입")하는 것을 의미합니다. 해당 구성 요소에 대한 제어 권한 획득, 구성 요소에서 데이터 추출 또는 기타 악의적 행위. 이렇게 하면 "etc"가 필요하지 않습니다. 왜냐하면 다음이 예시임을 나타내기 때문입니다.
주입 공격은 애플리케이션의 입력 유효성 검사 루틴의 취약점을 악용하기 때문에 심각한 보안 위협입니다. 가장 일반적인 형태는 공격자가 입력 필드에 악의적인 SQL 문을 삽입하거나 "주입"하는 SQL 삽입입니다. 애플리케이션이 입력 내용을 적절하게 삭제하지 않으면 데이터베이스에서 이러한 명령문이 실행되어 무단 데이터 액세스, 데이터 조작, 심지어 데이터베이스 전체가 손상될 수 있습니다.
주입 공격의 또 다른 유형은 공격자가 다른 사용자가 보는 웹 페이지에 악성 스크립트를 주입하는 XSS(교차 사이트 스크립팅)입니다. 이러한 스크립트는 피해자의 브라우저에서 쿠키, 세션 토큰 또는 기타 민감한 정보를 훔칠 수 있습니다. 마찬가지로 명령 주입 공격은 공격자가 취약한 응용 프로그램을 통해 호스트 운영 체제에서 임의 명령을 실행할 수 있을 때 발생합니다. 이러한 유형의 공격으로 인해 영향을 받는 시스템이 완전히 제어될 수 있습니다.
주입 공격의 위험을 완화하려면 개발자가 엄격한 입력 검증 및 삭제 기술을 사용하는 것이 중요합니다. 준비된 문과 매개변수화된 쿼리는 SQL 삽입에 효과적입니다. XSS 방지를 위해 웹 페이지에서 사용자 입력을 인코딩하는 것이 표준 관행입니다. 또한 최소 권한 액세스 제어 및 정기적인 보안 테스트와 같은 강력한 보안 관행을 구현하면 주입 공격에 대한 애플리케이션의 취약성을 크게 줄일 수 있습니다. 보안 코딩 관행에 대해 개발자를 교육하는 것도 이러한 유형의 보안 위반을 방지하는 핵심 구성 요소입니다.