El 94% de las aplicaciones están afectadas por alguna forma de inyección y los 33 CWE mapeados. Incluye Cross-site Scripting (XSS).
Las inyecciones ocurren cuando la entrada del usuario se envía a un intérprete, utilizando API inseguras o sin validación, saneamiento, neutralización
Si la entrada logra cambiar la semántica de la solicitud, entonces se produce una inyección. La inyección varía según el tipo de intérprete:
- Base de datos: Inyección SQL.
- Línea de comandos: Inyección de comandos.
- Objetos ORM: Inyección ORM.
- Navegador: Cross-Site Scripting (XSS).
| OWASP Top 10 Application Security Risks - 2021 | Referencia |
|---|---|
| A03:2021 – Inyección | OWASP |
Los problemas de inyección ocurren por la separación incorrecta entre el flujo de control y el flujo de datos.Francesco Ongaro
