Expression Language Injection
“Expression Language Injection” (EL Injection), bir web uygulamasının hacklenmesinde yaygın olarak kullanılan bir saldırı teknikidir. Bu saldırı, bir hacker’ın kullanıcı girişlerine EL ifadeleri enjekte ederek gerçekleştirilir. Web uygulamalarının çoğu, dinamik içerikler oluşturmak için bir tür şablon motoru veya view engine kullanır. Bu motorlar genellikle Expression Language (EL) olarak adlandırılan kendi dilsel işlevlerini içerirler. EL ifadeleri, kullanıcıların girdiği verileri otomatik olarak yorumlar ve sonuçları şablonlarla birleştirerek bir HTTP yanıtı oluşturur. Ancak, bir hacker, kullanıcının girdiği verilere kötü amaçlı EL ifadesi enjekte ederek, web uygulamasını hackleyebilir ve hassas bilgilere erişebilir.
Örneğin, bir web uygulamasında bir kullanıcının profil resmi yükleme özelliği olabilir ve resim yolu şablonunun bir parçası olarak kullanılabilir. Bir hacker, yükleme özelliğine bir EL ifadesi enjekte ederek, kötü amaçlı bir resim yüklemeyi tetikleyebilir ve böylece uygulamanın çalıştığı sunucunun dosya sistemine erişebilir. EL Injection saldırıları, bir çok açıdan ele alınabilen ciddi bir güvenlik açığıdır ve bu tip saldırılardan korunmak için, girdi verilerinin sıkı şekilde doğrulanması ve filtrelendirilmesi gerekmektedir.