Verzögerte Angriffe
Nicht immer wird eingeschleuster Code sofort gestartet. Bei Second Order Code Injection Attacks liegt der Zeitpunkt zwischen Einschleusen und Ausführen des Codes unter Umständen weit auseinander.
Bei den meisten Angriffen auf Web-Applikationen, etwa Cross-Site-Scripting- und SQL-Injection-Attacken, wird der eingeschleuste Code sofort ausgeführt. Dass dies nicht immer so ist, zeigen sogenannte Second Order Code Injection Attacks -- das eingeschleuste Programm wird erst später ausgeführt. Bestes Beispiel ist in Log-Dateien geschriebener Code, den eine verwundbare Applikation beim Öffnen und Anschauen ausführt. Der Artikel zeigt weitere Beispiele und wie man solche Schwachstellen entdeckt und beseitigt.
Gunter Ollmann: Second Order Code Injection Attacks (ju)
