Il 94% delle applicazioni è affetto da una qualche forma di injection e le 33 CWE mappate. Comprende il Cross-site Scripting (XSS).
Le Injection si hanno quando l’input dell’utente viene inviato poi ad un interprete, utilizzando delle API insicure o senza validazione, sanificazione, neutralizzazione
Se l’input riesce a cambiare la semantica della richiesta, allora si ha un injection. L’injection cambia secondo il tipo di interprete:
- Database: SQL Injection.
- Linea di comando: Command Injection.
- Oggetti ORM: ORM Injection.
- Browser: Cross-Site Scripting (XSS).
| OWASP Top 10 Application Security Risks - 2021 | Riferimento |
|---|---|
| A03:2021 – Injection | OWASP |
Le problematiche di injection avvengono per l'errata separazione tra flusso di controllo e flusso dei dati.Francesco Ongaro
