インジェクション攻撃(インジェクションこうげき、英: Injection attack、または Code injection)とは、コンピュータプログラムが無効なデータを処理した場合に出現するバグを、攻撃者が悪用し不正な命令を実行する攻撃手法である。攻撃者は脆弱性のあるプログラムにソースコードを注入(インジェクト)し、実行過程に変更を加える[1][2][3]。インジェクション攻撃が成功した場合、例えばワームの増殖のような、深刻な被害を受けることがある。 概要[編集] コードインジェクション脆弱性(インジェクションフロー)は、アプリケーションがインタプリタへ信頼できないデータを送信する場合に生じる。SQL、 LDAP、XPath、NoSQLの問い合わせ、 オペレーティングシステム (OS) のコマンド、XMLの構文解析、SMTPヘッダ、プログラム引数などで最も頻繁に見られる。インジェクション