Přeskočit na hlavní obsah

Injection

  • Low-code/No-code aplikace přijímají data různými způsoby - přímý vstup nebo načítání obsahu z jiných služeb.
  • Taková data mohou být škodlivá a pro aplikaci představují riziko.
  • Aplikace se dynamicky dotazují na data na základě uživatelského vstupu.
  • To představuje riziko v podobě injection útoků.
  • Ochrana před injection útoky musí zohledňovat konkrétní aplikaci a použití dat.

Jak zranitelnosti předcházet

🔴 Ošetřete vstup s ohledem na operace, které s ním bude aplikace provádět.

🔴 Poučte byznys uživatele o riziku nesanitizovaného uživatelského vstupu.

  • Platformy nemohou tento problém samy odstranit.

Příklad zneužití zranitelnosti

  1. Vývojář nastaví automatizaci, která přidává publikace do RSS kanálu a ukládá je do databáze.
    • Útočník, který využije tento kanál, ho použije k injektování příkazů do databáze.
    • Tím odstraní důležité záznamy.
  2. Vývojář vytvoří aplikaci, která umožňuje vyplňovat formuláře.
    • Aplikace data zakóduje jako CSV a uloží je na sdílený disk.
    • Aplikace nesanitizuje vstupy proti Office macro útokům.
    • Útočník napíše makro, které se uloží do souboru.
    • Po otevření souboru se makro spustí.

Kam dál