Expression Language (EL) Injection Attack
Expression Language (EL) Injection Attack är en typ av säkerhetsrisk i IT-system. Det uppstår när någon skriver in kod som kan tolkas som EL-uttryck i en webbapplikations inmatningsfält med syfte att manipulera systemet.
EL används vanligtvis för att rendera dynamiska webbsidor, där exempelvis en användares indata ersätter vissa delar av koden med hjälp av EL-uttryck. Detta gör att angriparen kan injicera skadlig kod genom att skriva om koden på ett sätt som gör att systemet tolkar den som ett EL-uttryck.
Ett scenario kan vara att en angripare skriver in en kod i ett inmatningsfält som ändrar en köpsida på en e-handelssajt. Om detta lyckas så kommer kunden få ett annat pris i kassan eller något annat som angriparen har manipulerat på köpsidan. Detta kan leda till allvarliga konsekvenser för både kunder och företag.
Som systemutvecklare kan man skydda sig mot EL Injection Attack genom att filtrera bort all inmatning som kan tolkas som kod, och ersätta den med säkra alternativ som endast är text. Detta kräver dock vaksamhet och kunskap inom säkerhet på utvecklingsfronten.