Code Injection - Versionsgeschichte

Fan-vom-Wiki: /* Cross-Site-Scripting */

2024-11-13T20:09:13Z

Cross-Site-Scripting

← Nächstältere Version		Version vom 13. November 2024, 22:09 Uhr
Zeile 86:		Zeile 86:
	Wenn nun ein anderer Besucher die Seite besucht, sieht er den Bereich von <code><script></code> bis <code></script></code> gar nicht – statt ihn anzuzeigen, führt der Browser diesen Skriptcode sofort auf seinem Rechner aus. Dabei kann er nicht nur den Rechner kompromittieren, sondern auch auf der gerade besuchten Website unerwünschte Aktionen ausführen – wenn der Nutzer dort angemeldet war, mit dessen Nutzerrechten.		Wenn nun ein anderer Besucher die Seite besucht, sieht er den Bereich von <code><script></code> bis <code></script></code> gar nicht – statt ihn anzuzeigen, führt der Browser diesen Skriptcode sofort auf seinem Rechner aus. Dabei kann er nicht nur den Rechner kompromittieren, sondern auch auf der gerade besuchten Website unerwünschte Aktionen ausführen – wenn der Nutzer dort angemeldet war, mit dessen Nutzerrechten.

	Dieses Injizieren von Skripten in die [[Sitzung (Informatik)\|Sitzung]] eines ahnungslosen folgenden Users wird als „[[Cross-Site-Scripting]]“ oder „XSS“ bezeichnet. Das Gästebuch-Skript ~~übernahm~~ den Code des ~~erste~~ Nutzers unüberprüft in den auszugebenden HTML-Text – auf Basis naiver Annahmen darüber, welche Eingabedaten möglich sind.<ref name="HopeWalther">{{Literatur \|Autor=Brian Hope, Paco Hope, Ben Walther \|Titel=Web Security Testing Cookbook \|Verlag=O’Reilly Media \|Ort=Sebastopol CA \|Datum=2009 \|ISBN=978-0-596-51483-9 \|Seiten=254 \|Online=[https://archive.org/details/websecuritytesti00hope/page/254/mode/1up Online] \|Sprache=en}}</ref>		Dieses Injizieren von Skripten in die [[Sitzung (Informatik)\|Sitzung]] eines ahnungslosen folgenden Users wird als „[[Cross-Site-Scripting]]“ oder „XSS“ bezeichnet. Das Gästebuch-Skript übernimmt den Code des ersten Nutzers unüberprüft in den auszugebenden HTML-Text – auf Basis naiver Annahmen darüber, welche Eingabedaten möglich sind.<ref name="HopeWalther">{{Literatur \|Autor=Brian Hope, Paco Hope, Ben Walther \|Titel=Web Security Testing Cookbook \|Verlag=O’Reilly Media \|Ort=Sebastopol CA \|Datum=2009 \|ISBN=978-0-596-51483-9 \|Seiten=254 \|Online=[https://archive.org/details/websecuritytesti00hope/page/254/mode/1up Online] \|Sprache=en}}</ref>

	=== Dynamische Auswertungsschwachstellen ===		=== Dynamische Auswertungsschwachstellen ===

Carljohannstempel: Ich habe "Computerviren oder -würmer" zu "Schadsoftware" geändert, damit es auch andere arten von Schadsoftware wie z.B. Trojaner beinhaltet.

2024-10-29T20:29:48Z

Ich habe "Computerviren oder -würmer" zu "Schadsoftware" geändert, damit es auch andere arten von Schadsoftware wie z.B. Trojaner beinhaltet.

← Nächstältere Version		Version vom 29. Oktober 2024, 22:29 Uhr
Zeile 1:		Zeile 1:
	'''Code-Injektion''' ist das Einschleusen und Ausführen von unerwünschtem Programmcode, durch die Ausnutzung eines [[Programmfehler\|Computerfehlers]]. Dabei werden externe Daten von einem [[Hacker (Computersicherheit)\|Angreifer]] genutzt, um [[Quellcode\|Code]] in ein verwundbares [[Computerprogramm]] einzuschleusen (zu „injizieren“) und zur [[Ausführung (Informatik)\|Ausführung]] zu bringen. Das Ergebnis einer erfolgreichen Code-Injektion kann verheerend sein, etwa durch Verbreitung von [[~~Computervirus\|Computerviren]] oder [[Computerwurm\|-würmern~~]].		'''Code-Injektion''' ist das Einschleusen und Ausführen von unerwünschtem Programmcode, durch die Ausnutzung eines [[Programmfehler\|Computerfehlers]]. Dabei werden externe Daten von einem [[Hacker (Computersicherheit)\|Angreifer]] genutzt, um [[Quellcode\|Code]] in ein verwundbares [[Computerprogramm]] einzuschleusen (zu „injizieren“) und zur [[Ausführung (Informatik)\|Ausführung]] zu bringen. Das Ergebnis einer erfolgreichen Code-Injektion kann verheerend sein, etwa durch Verbreitung von [[Schadsoftware]].

	Bestimmte Arten von Code-Injection sind Interpretationsfehler, die den Benutzereingaben eine besondere Bedeutung verleihen, indem dort nicht zwischen Benutzereingaben und Systembefehlen unterschieden wird.		Bestimmte Arten von Code-Injection sind Interpretationsfehler, die den Benutzereingaben eine besondere Bedeutung verleihen, indem dort nicht zwischen Benutzereingaben und Systembefehlen unterschieden wird.

Aka: typografische Anführungszeichen

2024-07-24T15:40:04Z

typografische Anführungszeichen

← Nächstältere Version		Version vom 24. Juli 2024, 17:40 Uhr
Zeile 62:		Zeile 62:
	OR '1'='1'		OR '1'='1'
	</syntaxhighlight>		</syntaxhighlight>
	Diese Abfrage ist nicht nur erfolgreich, wenn es einen Eintrag gibt mit dem Benutzernamen und dem Passwort ~~"XYZ"~~ (das dürfte höchst selten der Fall sein), sondern auch, wenn es den Benutzernamen gibt und 1 = 1 ist (und das ist immer der Fall). Das System wird also den Zugriff gestatten.		Diese Abfrage ist nicht nur erfolgreich, wenn es einen Eintrag gibt mit dem Benutzernamen und dem Passwort „XYZ“ (das dürfte höchst selten der Fall sein), sondern auch, wenn es den Benutzernamen gibt und 1 = 1 ist (und das ist immer der Fall). Das System wird also den Zugriff gestatten.

	Ein zweites Beispiel: Der Angreifer gibt als Benutzernamen folgenden Code ein: <code>';DROP TABLE BenutzerListe; --</code>. In diesem Fall entsteht die folgende Datenbankabfrage:		Ein zweites Beispiel: Der Angreifer gibt als Benutzernamen folgenden Code ein: <code>';DROP TABLE BenutzerListe; --</code>. In diesem Fall entsteht die folgende Datenbankabfrage:
Zeile 96:		Zeile 96:
	eval('$myvar = ' . $x . ';');		eval('$myvar = ' . $x . ';');
	</syntaxhighlight>		</syntaxhighlight>
	Das Argument von <code>[[eval]]</code> wird als [[PHP]] verarbeitet, so dass weitere Befehle angehängt werden können. Wird <code>arg</code> beispielsweise auf "<syntaxhighlight lang="php" inline>10; system('/bin/echo uh-oh')</syntaxhighlight>" gesetzt, wird zusätzlicher Code ausgeführt, der ein Programm auf dem Server ausführt, in diesem Fall "<code>/bin/echo</code>".		Das Argument von <code>[[eval]]</code> wird als [[PHP]] verarbeitet, so dass weitere Befehle angehängt werden können. Wird <code>arg</code> beispielsweise auf „<syntaxhighlight lang="php" inline>10; system('/bin/echo uh-oh')</syntaxhighlight>“ gesetzt, wird zusätzlicher Code ausgeführt, der ein Programm auf dem Server ausführt, in diesem Fall „<code>/bin/echo</code>“.

	=== Objektinjektion ===		=== Objektinjektion ===

Invisigoth67: typo

2024-07-24T13:11:40Z

typo

← Nächstältere Version		Version vom 24. Juli 2024, 15:11 Uhr
Zeile 72:		Zeile 72:
	--AND BenutzerListe.Passwort = ''		--AND BenutzerListe.Passwort = ''
	</syntaxhighlight>		</syntaxhighlight>
	Aus Datenbanksicht sind dies drei verschiedene Anweisungen, jeweils durch ein Semikolon getrennt. Die erste sucht einen Datenbankeintrag mit leerem Benutzernamen. Es spielt keine Rolle, ob sie etwas findet, denn als ~~nächstes~~ folgt eine DROP-Anweisung, die die komplette Tabelle <code>BenutzerListe</code> sofort und ohne Rückfrage löscht. Der Rest wird wegen der führenden Bindestriche als Kommentar angesehen, also ignoriert. Mit der Löschanweisung wurde in diesem Moment die gesamte Datenbank zerstört, denn sie enthält nun keine Tabelle mit Benutzernamen und Passwörtern mehr.		Aus Datenbanksicht sind dies drei verschiedene Anweisungen, jeweils durch ein Semikolon getrennt. Die erste sucht einen Datenbankeintrag mit leerem Benutzernamen. Es spielt keine Rolle, ob sie etwas findet, denn als Nächstes folgt eine DROP-Anweisung, die die komplette Tabelle <code>BenutzerListe</code> sofort und ohne Rückfrage löscht. Der Rest wird wegen der führenden Bindestriche als Kommentar angesehen, also ignoriert. Mit der Löschanweisung wurde in diesem Moment die gesamte Datenbank zerstört, denn sie enthält nun keine Tabelle mit Benutzernamen und Passwörtern mehr.

	=== Cross-Site-Scripting ===		=== Cross-Site-Scripting ===

85.233.21.103: Präzisierung des Ersten Satzes, da code injection keine ungültigen Daten voraussetzt.

2024-07-14T17:43:02Z

Präzisierung des Ersten Satzes, da code injection keine ungültigen Daten voraussetzt.

← Nächstältere Version		Version vom 14. Juli 2024, 19:43 Uhr
Zeile 1:		Zeile 1:
	'''Code-Injektion''' ist die Ausnutzung eines [[Programmfehler\|Computerfehlers]], ~~der~~ ~~durch~~ ~~die Verarbeitung ungültiger~~ Daten ~~verursacht wird. Die Injektion wird~~ von einem [[Hacker (Computersicherheit)\|Angreifer]] genutzt, um [[Quellcode\|Code]] in ein verwundbares [[Computerprogramm]] einzuschleusen (zu „injizieren“) und zur [[Ausführung (Informatik)\|Ausführung]] zu bringen. Das Ergebnis einer erfolgreichen Code-Injektion kann verheerend sein, etwa durch Verbreitung von [[Computervirus\|Computerviren]] oder [[Computerwurm\|-würmern]].		'''Code-Injektion''' ist das Einschleusen und Ausführen von unerwünschtem Programmcode, durch die Ausnutzung eines [[Programmfehler\|Computerfehlers]]. Dabei werden externe Daten von einem [[Hacker (Computersicherheit)\|Angreifer]] genutzt, um [[Quellcode\|Code]] in ein verwundbares [[Computerprogramm]] einzuschleusen (zu „injizieren“) und zur [[Ausführung (Informatik)\|Ausführung]] zu bringen. Das Ergebnis einer erfolgreichen Code-Injektion kann verheerend sein, etwa durch Verbreitung von [[Computervirus\|Computerviren]] oder [[Computerwurm\|-würmern]].

	Bestimmte Arten von Code-Injection sind Interpretationsfehler, die den Benutzereingaben eine besondere Bedeutung verleihen, indem dort nicht zwischen Benutzereingaben und Systembefehlen unterschieden wird.		Bestimmte Arten von Code-Injection sind Interpretationsfehler, die den Benutzereingaben eine besondere Bedeutung verleihen, indem dort nicht zwischen Benutzereingaben und Systembefehlen unterschieden wird.

77.3.141.101: /* Format-Spezifizierer-Injektion */

2023-11-22T18:38:53Z

Format-Spezifizierer-Injektion

← Nächstältere Version		Version vom 22. November 2023, 20:38 Uhr
Zeile 116:		Zeile 116:
	Formatierungszeichenfolgen-Bugs treten am häufigsten auf, wenn ein Programmierer eine Zeichenfolge ausgeben möchte, die vom Benutzer gelieferte Daten enthält. Der Programmierer schreibt vielleicht fälschlicherweise <code>printf(buffer)</code> statt <code>printf("%s", buffer)</code>. Die erste Version interpretiert <code>buffer</code> als Formatierungszeichenfolge und parst alle darin enthaltenen Formatierungsanweisungen. Die zweite Version gibt einfach eine Zeichenkette auf dem Bildschirm aus, wie vom Programmierer beabsichtigt.		Formatierungszeichenfolgen-Bugs treten am häufigsten auf, wenn ein Programmierer eine Zeichenfolge ausgeben möchte, die vom Benutzer gelieferte Daten enthält. Der Programmierer schreibt vielleicht fälschlicherweise <code>printf(buffer)</code> statt <code>printf("%s", buffer)</code>. Die erste Version interpretiert <code>buffer</code> als Formatierungszeichenfolge und parst alle darin enthaltenen Formatierungsanweisungen. Die zweite Version gibt einfach eine Zeichenkette auf dem Bildschirm aus, wie vom Programmierer beabsichtigt.

	Betrachten Sie das folgende kurze C-Programm, das eine lokale Variable char array <code>~~Passwort~~</code> hat, die ein Passwort enthält; das Programm fragt den Benutzer nach einer Ganzzahl und einer Zeichenkette, dann gibt es die vom Benutzer angegebene Zeichenkette aus.		Betrachten Sie das folgende kurze C-Programm, das eine lokale Variable char array <code>passwort</code> hat, die ein Passwort enthält; das Programm fragt den Benutzer nach einer Ganzzahl und einer Zeichenkette, dann gibt es die vom Benutzer angegebene Zeichenkette aus.
	<syntaxhighlight lang="c">		<syntaxhighlight lang="c">
	char user_input[100];		char user_input[100];

77.3.141.101: /* Format-Spezifizierer-Injektion */

2023-11-22T18:37:39Z

Format-Spezifizierer-Injektion

← Nächstältere Version		Version vom 22. November 2023, 20:37 Uhr
Zeile 114:		Zeile 114:

	=== Format-Spezifizierer-Injektion ===		=== Format-Spezifizierer-Injektion ===
	Formatierungszeichenfolgen-Bugs treten am häufigsten auf, wenn ein Programmierer eine Zeichenfolge ausgeben möchte, die vom Benutzer gelieferte Daten enthält. Der Programmierer schreibt vielleicht fälschlicherweise <code>printf(buffer)</code> statt <code>printf("%s", buffer)</code>. Die erste Version interpretiert <code>~~puffer~~</code> als Formatierungszeichenfolge und parst alle darin enthaltenen Formatierungsanweisungen. Die zweite Version gibt einfach eine Zeichenkette auf dem Bildschirm aus, wie vom Programmierer beabsichtigt.		Formatierungszeichenfolgen-Bugs treten am häufigsten auf, wenn ein Programmierer eine Zeichenfolge ausgeben möchte, die vom Benutzer gelieferte Daten enthält. Der Programmierer schreibt vielleicht fälschlicherweise <code>printf(buffer)</code> statt <code>printf("%s", buffer)</code>. Die erste Version interpretiert <code>buffer</code> als Formatierungszeichenfolge und parst alle darin enthaltenen Formatierungsanweisungen. Die zweite Version gibt einfach eine Zeichenkette auf dem Bildschirm aus, wie vom Programmierer beabsichtigt.

	Betrachten Sie das folgende kurze C-Programm, das eine lokale Variable char array <code>Passwort</code> hat, die ein Passwort enthält; das Programm fragt den Benutzer nach einer Ganzzahl und einer Zeichenkette, dann gibt es die vom Benutzer angegebene Zeichenkette aus.		Betrachten Sie das folgende kurze C-Programm, das eine lokale Variable char array <code>Passwort</code> hat, die ein Passwort enthält; das Programm fragt den Benutzer nach einer Ganzzahl und einer Zeichenkette, dann gibt es die vom Benutzer angegebene Zeichenkette aus.

77.3.141.101: /* Gute und ungewollte Verwendung */

2023-11-22T18:35:42Z

Gute und ungewollte Verwendung

← Nächstältere Version		Version vom 22. November 2023, 20:35 Uhr
Zeile 19:		Zeile 19:
	Theoretisch kann Code-Injektion mit guten Absichten verwendet werden,<ref>{{Internetquelle \|autor=Raghunathan Srinivasan \|url=https://www.public.asu.edu/~rsriniv8/Documents/srini-das.pdf \|titel=Towards More Effective Virus Detectors \|werk=Arizona State University \|archiv-url=https://web.archive.org/web/20100729023112/http://www.public.asu.edu/~rsriniv8/Documents/srini-das.pdf \|archiv-datum=2010-07-29 \|abruf=2010-09-18 \|sprache=en \|zitat=Benevolent use of code injection occurs when a user changes the behaviour of a program to meet system requirements.}}</ref><ref>{{Literatur \|Titel=Lecture Notes in Computer Science, Jose Andre Morales, Ravi Sandhu, Shouhuai Xu, Erhan Kartaltepe \|Verlag=Springer \|Ort=Berlin / Heidelberg \|Datum=2010 \|Sprache=en \|ISBN=978-3-642-14705-0 \|Kapitel=Symptoms-Based Detection of Bot Processes \|DOI=10.1007/978-3-642-14706-7_18}}</ref> indem etwa eine Suchergebnisseite eine nützliche neue Spalte anzeigt oder den Inhalt weiter filtert, ordnet oder gruppiert. Auch beim Testen von Software, besonders bei [[Penetrationstest (Informatik)\|Penetrationstests]], leistet Code-Injektion gute Dienste („[[Hacker (Computersicherheit)#White-, Grey- und Black-Hats\|White Hat]]“). Selbst ein Softwareentwickler wird manchmal Methoden einsetzen, die diesen Namen verdienen – etwa eine Bibliotheksfunktion vorübergehend durch eine eigene Funktion mit gleichem Namen überschreiben.<ref>{{Internetquelle \|url=https://rafalcieslak.wordpress.com/2013/04/02/dynamic-linker-tricks-using-ld_preload-to-cheat-inject-features-and-investigate-programs/ \|titel=Dynamische Linker-Tricks: Mit LD_PRELOAD schummeln, Funktionen injizieren und Programme untersuchen \|werk=Rafał Cieślak’s blog \|datum=2013-04-02 \|abruf=2016-12-10 \|sprache=en}}</ref>		Theoretisch kann Code-Injektion mit guten Absichten verwendet werden,<ref>{{Internetquelle \|autor=Raghunathan Srinivasan \|url=https://www.public.asu.edu/~rsriniv8/Documents/srini-das.pdf \|titel=Towards More Effective Virus Detectors \|werk=Arizona State University \|archiv-url=https://web.archive.org/web/20100729023112/http://www.public.asu.edu/~rsriniv8/Documents/srini-das.pdf \|archiv-datum=2010-07-29 \|abruf=2010-09-18 \|sprache=en \|zitat=Benevolent use of code injection occurs when a user changes the behaviour of a program to meet system requirements.}}</ref><ref>{{Literatur \|Titel=Lecture Notes in Computer Science, Jose Andre Morales, Ravi Sandhu, Shouhuai Xu, Erhan Kartaltepe \|Verlag=Springer \|Ort=Berlin / Heidelberg \|Datum=2010 \|Sprache=en \|ISBN=978-3-642-14705-0 \|Kapitel=Symptoms-Based Detection of Bot Processes \|DOI=10.1007/978-3-642-14706-7_18}}</ref> indem etwa eine Suchergebnisseite eine nützliche neue Spalte anzeigt oder den Inhalt weiter filtert, ordnet oder gruppiert. Auch beim Testen von Software, besonders bei [[Penetrationstest (Informatik)\|Penetrationstests]], leistet Code-Injektion gute Dienste („[[Hacker (Computersicherheit)#White-, Grey- und Black-Hats\|White Hat]]“). Selbst ein Softwareentwickler wird manchmal Methoden einsetzen, die diesen Namen verdienen – etwa eine Bibliotheksfunktion vorübergehend durch eine eigene Funktion mit gleichem Namen überschreiben.<ref>{{Internetquelle \|url=https://rafalcieslak.wordpress.com/2013/04/02/dynamic-linker-tricks-using-ld_preload-to-cheat-inject-features-and-investigate-programs/ \|titel=Dynamische Linker-Tricks: Mit LD_PRELOAD schummeln, Funktionen injizieren und Programme untersuchen \|werk=Rafał Cieślak’s blog \|datum=2013-04-02 \|abruf=2016-12-10 \|sprache=en}}</ref>

	Natürlich könnte ein Nutzer auch ohne Absicht Code injizieren. Er hält beispielsweise etwas für eine gültige Eingabe, was vom Entwickler mit einer besonderen Bedeutung versehen wurden – vielleicht nur ein Kaufmanns-Und oder ein Apostroph in einem Firmennamen. So etwas könnte auch in einer Datei stehen, die der Nutzer ~~hochläd~~.		Natürlich könnte ein Nutzer auch ohne Absicht Code injizieren. Er hält beispielsweise etwas für eine gültige Eingabe, was vom Entwickler mit einer besonderen Bedeutung versehen wurden – vielleicht nur ein Kaufmanns-Und oder ein Apostroph in einem Firmennamen. So etwas könnte auch in einer Datei stehen, die der Nutzer hochlädt.

	== Verhindern von Problemen ==		== Verhindern von Problemen ==

APPERbot: Bot: Syntaxhighlight: Sprache html4strict nach html korrigiert, siehe H:SYH , http nach https umgestellt

2023-06-19T16:05:55Z

Bot: Syntaxhighlight: Sprache html4strict nach html korrigiert, siehe H:SYH , http nach https umgestellt

Änderungen zeigen

Ulanwp: /* Gute und ungewollte Verwendung */ 1 Link nach archive.org geprüft

2023-01-20T12:13:48Z

Gute und ungewollte Verwendung: 1 Link nach archive.org geprüft

← Nächstältere Version		Version vom 20. Januar 2023, 14:13 Uhr
Zeile 17:		Zeile 17:

	== Gute und ungewollte Verwendung ==		== Gute und ungewollte Verwendung ==
	Theoretisch kann Code-Injektion mit guten Absichten verwendet werden,<ref>{{Internetquelle \|autor=Raghunathan Srinivasan \|url=http://www.public.asu.edu/~rsriniv8/Documents/srini-das.pdf \|titel=Towards More Effective Virus Detectors \|werk=Arizona State University ~~\|offline=yes~~ \|archiv-url=https://web.archive.org/web/20100729023112/http://www.public.asu.edu/~rsriniv8/Documents/srini-das.pdf \|archiv-datum=2010-07-29 ~~\|archiv-bot=2022-10-19 06:19:28 InternetArchiveBot~~ \|abruf=2010-09-18 \|sprache=en \|zitat=Benevolent use of code injection occurs when a user changes the behaviour of a program to meet system requirements.}}</ref><ref>{{Literatur \|Titel=Lecture Notes in Computer Science, Jose Andre Morales, Ravi Sandhu, Shouhuai Xu, Erhan Kartaltepe \|Verlag=Springer \|Ort=Berlin / Heidelberg \|Datum=2010 \|Sprache=en \|ISBN=978-3-642-14705-0 \|Kapitel=Symptoms-Based Detection of Bot Processes \|DOI=10.1007/978-3-642-14706-7_18}}</ref> indem etwa eine Suchergebnisseite eine nützliche neue Spalte anzeigt oder den Inhalt weiter filtert, ordnet oder gruppiert. Auch beim Testen von Software, besonders bei [[Penetrationstest (Informatik)\|Penetrationstests]], leistet Code-Injektion gute Dienste („[[Hacker (Computersicherheit)#White-, Grey- und Black-Hats\|White Hat]]“). Selbst ein Softwareentwickler wird manchmal Methoden einsetzen, die diesen Namen verdienen – etwa eine Bibliotheksfunktion vorübergehend durch eine eigene Funktion mit gleichem Namen überschreiben.<ref>{{Internetquelle \|url=https://rafalcieslak.wordpress.com/2013/04/02/dynamic-linker-tricks-using-ld_preload-to-cheat-inject-features-and-investigate-programs/ \|titel=Dynamische Linker-Tricks: Mit LD_PRELOAD schummeln, Funktionen injizieren und Programme untersuchen \|werk=Rafał Cieślak’s blog \|datum=2013-04-02 \|abruf=2016-12-10 \|sprache=en}}</ref>		Theoretisch kann Code-Injektion mit guten Absichten verwendet werden,<ref>{{Internetquelle \|autor=Raghunathan Srinivasan \|url=http://www.public.asu.edu/~rsriniv8/Documents/srini-das.pdf \|titel=Towards More Effective Virus Detectors \|werk=Arizona State University \|archiv-url=https://web.archive.org/web/20100729023112/http://www.public.asu.edu/~rsriniv8/Documents/srini-das.pdf \|archiv-datum=2010-07-29 \|abruf=2010-09-18 \|sprache=en \|zitat=Benevolent use of code injection occurs when a user changes the behaviour of a program to meet system requirements.}}</ref><ref>{{Literatur \|Titel=Lecture Notes in Computer Science, Jose Andre Morales, Ravi Sandhu, Shouhuai Xu, Erhan Kartaltepe \|Verlag=Springer \|Ort=Berlin / Heidelberg \|Datum=2010 \|Sprache=en \|ISBN=978-3-642-14705-0 \|Kapitel=Symptoms-Based Detection of Bot Processes \|DOI=10.1007/978-3-642-14706-7_18}}</ref> indem etwa eine Suchergebnisseite eine nützliche neue Spalte anzeigt oder den Inhalt weiter filtert, ordnet oder gruppiert. Auch beim Testen von Software, besonders bei [[Penetrationstest (Informatik)\|Penetrationstests]], leistet Code-Injektion gute Dienste („[[Hacker (Computersicherheit)#White-, Grey- und Black-Hats\|White Hat]]“). Selbst ein Softwareentwickler wird manchmal Methoden einsetzen, die diesen Namen verdienen – etwa eine Bibliotheksfunktion vorübergehend durch eine eigene Funktion mit gleichem Namen überschreiben.<ref>{{Internetquelle \|url=https://rafalcieslak.wordpress.com/2013/04/02/dynamic-linker-tricks-using-ld_preload-to-cheat-inject-features-and-investigate-programs/ \|titel=Dynamische Linker-Tricks: Mit LD_PRELOAD schummeln, Funktionen injizieren und Programme untersuchen \|werk=Rafał Cieślak’s blog \|datum=2013-04-02 \|abruf=2016-12-10 \|sprache=en}}</ref>

	Natürlich könnte ein Nutzer auch ohne Absicht Code injizieren. Er hält beispielsweise etwas für eine gültige Eingabe, was vom Entwickler mit einer besonderen Bedeutung versehen wurden – vielleicht nur ein Kaufmanns-Und oder ein Apostroph in einem Firmennamen. So etwas könnte auch in einer Datei stehen, die der Nutzer hochläd.		Natürlich könnte ein Nutzer auch ohne Absicht Code injizieren. Er hält beispielsweise etwas für eine gültige Eingabe, was vom Entwickler mit einer besonderen Bedeutung versehen wurden – vielleicht nur ein Kaufmanns-Und oder ein Apostroph in einem Firmennamen. So etwas könnte auch in einer Datei stehen, die der Nutzer hochläd.