Code Injection

Angriffsart, bei der schädlicher Code in eine Anwendung eingeschleust und ausgeführt wird. Code-Injection umfasst verschiedene Techniken wie SQL-Injection, Command Injection oder Template Injection, bei denen unzureichend validierte Eingaben dazu führen, dass fremder Code auf dem Server oder in Client-Kontexten ausgeführt wird. Bei SQL-Injection etwa fügen Angreifer SQL-Klauseln in Formulare oder URLs ein, um Datenbanken auszuspähen oder zu manipulieren. Command Injection nutzt unsichere Shell-Aufrufe, um systemweite Befehle auszuführen. Die Abwehr erfolgt durch konsequentes Whitelisting, Einsatz parametrischer SQL-Abfragen (Prepared Statements) und strikte Trennung von Code und Daten (keine direkte String-Konkatenation). Regelmäßige Penetrationstests und Code-Reviews sind unerlässlich, um neu entstehende Schwachstellen zeitnah zu erkennen.