Há uma vulnerabilidade em implementações de avaliadores de expressão regular e métodos relacionados que pode provocar o travamento do thread durante a avaliação de expressões regulares que contêm uma expressão de agrupamento que se repete. Além disso, qualquer expressão regular que contenha subexpressões alternativas que se sobreponham umas às outras também pode ser explorada. Esse defeito pode ser usado para executar um ataque de Negação de Serviço (DoS).
Exemplo:

  (e+)+
  ([a-zA-Z]+)*
  (e|ee)+

Não existem implementações conhecidas de expressões regulares que sejam imunes a essa vulnerabilidade. Todas as plataformas e linguagens são vulneráveis a esse ataque.

Há uma vulnerabilidade em implementações de avaliadores de expressão regular e métodos relacionados que pode provocar o travamento do thread durante a avaliação de expressões regulares que contêm uma expressão de agrupamento que se repete. Além disso, qualquer expressão regular que contenha subexpressões alternativas que se sobreponham umas às outras também pode ser explorada. Esse defeito pode ser usado para executar um ataque de Negação de Serviço (DoS).
Exemplo:

  (e+)+
  ([a-zA-Z]+)*
  (e|ee)+

Não existem implementações conhecidas de expressões regulares que sejam imunes a essa vulnerabilidade. Todas as plataformas e linguagens são vulneráveis a esse ataque.

Há uma vulnerabilidade em implementações de avaliadores de expressão regular e métodos relacionados que pode provocar o travamento do thread durante a avaliação de expressões regulares que contêm uma expressão de agrupamento que se repete. Além disso, invasores podem explorar qualquer expressão regular que contenha subexpressões alternativas que se sobreponham umas às outras. Esse defeito pode ser usado para executar um ataque de Negação de Serviço (DoS).
Exemplo:

  (e+)+
  ([a-zA-Z]+)*
  (e|ee)+

Não existem implementações conhecidas de expressões regulares que sejam imunes a essa vulnerabilidade. Todas as plataformas e linguagens são vulneráveis a esse ataque.

Há uma vulnerabilidade em implementações de avaliadores de expressão regular e métodos relacionados que pode provocar o travamento do thread durante a avaliação de expressões regulares que contêm uma expressão de agrupamento que se repete. Além disso, qualquer expressão regular que contenha subexpressões alternativas que se sobreponham umas às outras também pode ser explorada. Esse defeito pode ser usado para executar um ataque de Negação de Serviço (DoS).
Exemplo:

  (e+)+
  ([a-zA-Z]+)*
  (e|ee)+

Não existem implementações conhecidas de expressões regulares que sejam imunes a essa vulnerabilidade. Todas as plataformas e linguagens são vulneráveis a esse ataque.

Há uma vulnerabilidade em implementações de avaliadores de expressão regular e métodos relacionados que pode provocar o travamento do thread durante a avaliação de expressões regulares que contêm uma expressão de agrupamento que se repete. Além disso, qualquer expressão regular que contenha subexpressões alternativas que se sobreponham umas às outras também pode ser explorada. Os invasores podem usar esse defeito para executar um ataque de DoS (Negação de Serviço).
Exemplo:

  (e+)+
  ([a-zA-Z]+)*
  (e|ee)+

Não existem implementações conhecidas de expressões regulares que sejam imunes a essa vulnerabilidade. Todas as plataformas e linguagens são vulneráveis a esse ataque.

Há uma vulnerabilidade em implementações de avaliadores de expressão regular e métodos relacionados que pode provocar o travamento do thread durante a avaliação de expressões regulares que contêm uma expressão de agrupamento que se repete. Além disso, qualquer expressão regular que contenha subexpressões alternativas que se sobreponham umas às outras também pode ser explorada. Esse defeito pode ser usado para executar um ataque de Negação de Serviço (DoS).
Exemplo 1: Se estas expressões regulares forem usadas no código vulnerável identificado, uma negação de serviço pode ocorrer:

  (e+)+
  ([a-zA-Z]+)*
  (e|ee)+

Exemplo de código problemático que depende de expressões regulares falhas:

NSString *regex = @"^(e+)+$";
NSPredicate *pred = [NSPRedicate predicateWithFormat:@"SELF MATCHES %@", regex];
if ([pred evaluateWithObject:mystring]) {
  //do something
}

A maioria dos analisadores de expressões regulares constroem estruturas de Máquina de estados finitos não determinística (Nondeterministic Finite Automaton, NFA) ao avaliar expressões regulares. A NFA tenta todas as correspondências possíveis até que uma correspondência completa seja encontrada. Dado o exemplo anterior, se o invasor fornecer a cadeia de correspondência "eeeZ", o analisador regex deverá verificar 16 avaliações internas para identificar uma correspondência. Se o invasor fornecer 16 "e"s ("eeeeeeeeeeeeeeeeZ") como a cadeia de correspondência, o analisador regex deverá verificar 65536 (2^16) avaliações. O invasor pode consumir recursos de computação facilmente por meio do aumento do número de caracteres de correspondência consecutivos. Não existem implementações conhecidas de expressões regulares que sejam imunes a essa vulnerabilidade. Todas as plataformas e linguagens são vulneráveis a esse ataque.

Há uma vulnerabilidade em implementações de avaliadores de expressão regular e métodos relacionados que pode provocar o travamento do thread durante a avaliação de expressões regulares que contêm uma expressão de agrupamento que se repete. Além disso, qualquer expressão regular que contenha subexpressões alternativas que se sobreponham umas às outras também pode ser explorada. Esse defeito pode ser usado para executar um ataque de Negação de Serviço (DoS).
Exemplo:

  (e+)+
  ([a-zA-Z]+)*
  (e|ee)+

Não existem implementações conhecidas de expressões regulares que sejam imunes a essa vulnerabilidade. Todas as plataformas e linguagens são vulneráveis a esse ataque.

Há uma vulnerabilidade em implementações de avaliadores de expressão regular e métodos relacionados que pode provocar o travamento do thread durante a avaliação de expressões regulares que contêm uma expressão de agrupamento que se repete. Além disso, qualquer expressão regular que contenha subexpressões alternativas que se sobreponham umas às outras também pode ser explorada. Esse defeito pode ser usado para executar um ataque de Negação de Serviço (DoS).
Exemplo:

  (e+)+
  ([a-zA-Z]+)*
  (e|ee)+

Não existem implementações conhecidas de expressões regulares imunes a essa vulnerabilidade. Todas as plataformas e linguagens são vulneráveis a esse ataque.

Há uma vulnerabilidade em implementações de avaliadores de expressão regular e métodos relacionados que pode provocar o travamento do thread durante a avaliação da sobreposição repetida e alternada de grupos de expressões regulares aninhados e repetidos. Esse defeito pode ser usado para executar um ataque de Negação de Serviço (DoS).
Exemplo:

(e+)+
([a-zA-Z]+)*

Não existem implementações conhecidas de expressões regulares que sejam imunes a essa vulnerabilidade. Todas as plataformas e linguagens são vulneráveis a esse ataque.

Há uma vulnerabilidade em implementações de avaliadores de expressão regular e métodos relacionados que pode provocar o travamento do thread durante a avaliação de expressões regulares que contêm uma expressão de agrupamento que se repete. Além disso, qualquer expressão regular que contenha subexpressões alternativas que se sobreponham umas às outras também pode ser explorada. Esse defeito pode ser usado para executar um ataque de Negação de Serviço (DoS).
Exemplo:

  (e+)+
  ([a-zA-Z]+)*
  (e|ee)+

Não existem implementações conhecidas de expressões regulares que sejam imunes a essa vulnerabilidade. Todas as plataformas e linguagens são vulneráveis a esse ataque.

Há uma vulnerabilidade em implementações de avaliadores de expressão regular e métodos relacionados que pode provocar o travamento do thread durante a avaliação de expressões regulares que contêm uma expressão de agrupamento que se repete. Além disso, qualquer expressão regular que contenha subexpressões alternativas que se sobreponham umas às outras também pode ser explorada. Esse defeito pode ser usado para executar um ataque de Negação de Serviço (DoS).

Exemplo 1: Se estas expressões regulares forem usadas no código vulnerável identificado, uma negação de serviço pode ocorrer:

(e+)+
([a-zA-Z]+)*
(e|ee)+

Exemplo de código problemático que depende de expressões regulares falhas:

let regex : String = "^(e+)+$"
let pred : NSPredicate = NSPRedicate(format:"SELF MATCHES \(regex)")
if (pred.evaluateWithObject(mystring)) {
  //do something
}

A maioria dos analisadores de expressões regulares constroem estruturas de Máquina de estados finitos não determinística (Nondeterministic Finite Automaton, NFA) ao avaliar expressões regulares. A NFA tenta todas as correspondências possíveis até que uma correspondência completa seja encontrada. Dado o Example 1, se o invasor fornecer a cadeia de correspondência "eeeZ", o analisador regex deverá verificar 16 avaliações internas para identificar uma correspondência. Se o invasor fornecer 16 "e"s ("eeeeeeeeeeeeeeeeZ") como a cadeia de correspondência, o analisador regex deverá verificar 65536 (2^16) avaliações. O invasor pode consumir recursos de computação facilmente por meio do aumento do número de caracteres de correspondência consecutivos. Não existem implementações conhecidas de expressões regulares que sejam imunes a essa vulnerabilidade. Todas as plataformas e linguagens são vulneráveis a esse ataque.

Anexar dados controlados pelo usuário a uma instância do StringBuilder ou do StringBuffer inicializada com o tamanho padrão da matriz de caracteres de apoio (16) pode fazer com que o aplicativo consuma grandes quantidades de memória heap ao redimensionar a matriz subjacente para ajustar os dados do usuário. Quando dados são anexados a uma instância de um StringBuilder ou de um StringBuffer, a instância determinará se a matriz de caracteres de apoio tem espaço suficiente para armazenar os dados. Se os dados não forem ajustados, uma nova instância do StringBuilder ou do StringBuffer irá criar outra matriz com pelo menos o dobro do tamanho da matriz anterior e a matriz antiga permanecerá no heap até que seja coletada como lixo. Os invasores podem usar esse detalhe da implementação para executar um ataque de Negação de Serviço (Denial of Service – DoS).

Exemplo 1: Os dados controlados pelo usuário são anexados a uma instância do StringBuilder inicializada com o construtor padrão.

    ...
    val sb = StringBuilder()
    val labels = request.getParameterValues("label")
    for (label in labels) {
        sb.appendln(label)
    }
    ...

Vulnerabilidades de injeção de código ocorrem quando o programador pressupõe incorretamente que as instruções fornecidas diretamente pelo usuário executarão somente operações inocentes, como cálculos simples em objetos de usuário ativos ou qualquer outro tipo de modificação do estado do usuário. No entanto, sem a devida validação, um usuário pode especificar operações não pretendidas pelo programador.

Exemplo: Nesse exemplo clássico de injeção de código, o relatório implementa uma calculadora básica que permite ao usuário especificar comandos para execução.

...
user_ops = request->get_form_field( 'operation' ).
CONCATENATE: 'PROGRAM zsample.| FORM calculation. |' INTO code_string,
             calculator_code_begin user_ops calculator_code_end INTO code_string,
			 'ENDFORM.|' INTO code_string.
SPLIT code_string AT '|' INTO TABLE code_table.
GENERATE SUBROUTINE POOL code_table NAME calc_prog.
PERFORM calculation IN PROGRAM calc_prog.
...

O programa se comporta corretamente quando o parâmetro operation é um valor benigno. No entanto, se um invasor especificar operações de linguagem tanto válidas quanto mal-intencionadas, estas serão executadas com o privilégio total do processo pai. Esses ataques são ainda mais perigosos quando o código injetado acessa recursos do sistema ou executa comandos do sistema. Por exemplo, se um invasor especificasse "MOVE 'shutdown -h now' to cmd. CALL 'SYSTEM' ID 'COMMAND' FIELD cmd ID 'TAB' FIELD TABL[]." como valor de operation, um comando de desligamento seria executado no sistema host.

Muitas linguagens de programação modernas permitem a interpretação dinâmica de instruções de origem. Com essa capacidade, os programadores podem realizar instruções dinâmicas com base na entrada recebida do usuário. Vulnerabilidades de injeção de código ocorrem quando o programador pressupõe incorretamente que as instruções fornecidas diretamente pelo usuário executarão somente operações inocentes, como cálculos simples em objetos de usuário ativos ou qualquer outro tipo de modificação do estado do usuário. No entanto, sem a devida validação, um usuário pode especificar operações não pretendidas pelo programador.

Exemplo: Nesse exemplo clássico de injeção de código, o aplicativo implementa uma calculadora básica que permite ao usuário especificar comandos para execução.

...
        var params:Object = LoaderInfo(this.root.loaderInfo).parameters;
        var userOps:String = String(params["operation"]);
        result = ExternalInterface.call("eval", userOps);
...

O programa se comporta corretamente quando o parâmetro operation é um valor benigno, como "8 + 7 * 2". Nesse caso, a variável result recebe um valor de 22. No entanto, se um invasor especificar operações de linguagem tanto válidas quanto mal-intencionadas, estas serão executadas com o privilégio total do processo pai. Esses ataques são ainda mais perigosos quando a linguagem subjacente fornece acesso a recursos do sistema ou permite a execução de comandos do sistema. No caso de ActionScript, o invasor pode utilizar essa vulnerabilidade para realizar um ataque de Cross-Site Scripting.

Muitas linguagens de programação modernas permitem a interpretação dinâmica de instruções de origem. Com essa capacidade, os programadores podem realizar instruções dinâmicas com base na entrada recebida do usuário. Vulnerabilidades de injeção de código ocorrem quando o programador pressupõe incorretamente que as instruções fornecidas diretamente pelo usuário executarão somente operações inocentes, como cálculos simples em objetos de usuário ativos ou qualquer outro tipo de modificação do estado do usuário. No entanto, sem a devida validação, um usuário pode especificar operações não pretendidas pelo programador.

Exemplo: Nesse exemplo clássico de injeção de código, o aplicativo implementa uma calculadora básica que permite ao usuário especificar comandos para execução.

...
    public static object CEval(string sCSCode)
    {
        CodeDomProvider icc = CodeDomProvider.CreateProvider("CSharp"); 
        CompilerParameters cparam = new CompilerParameters();
        cparam.ReferencedAssemblies.Add("system.dll");
        cparam.CompilerOptions = "/t:library";
        cparam.GenerateInMemory = true;

        StringBuilder sb_code = new StringBuilder("");
        sb_code.Append("using System;\n");
        sb_code.Append("namespace Fortify_CodeEval{ \n");
        sb_code.Append("public class FortifyCodeEval{ \n");
        sb_code.Append("public object EvalCode(){\n");
        sb_code.Append(sCSCode + "\n");
        sb_code.Append("} \n");
        sb_code.Append("} \n");
        sb_code.Append("}\n");

        CompilerResults cr = icc.CompileAssemblyFromSource(cparam, sb_code.ToString());
        if (cr.Errors.Count > 0)
        {
            logger.WriteLine("ERROR: " + cr.Errors[0].ErrorText);
            return null;
        }

        System.Reflection.Assembly a = cr.CompiledAssembly;
        object o = a.CreateInstance("Fortify_CodeEval.FortifyCodeEval");

        Type t = o.GetType();
        MethodInfo mi = t.GetMethod("EvalCode");

        object s = mi.Invoke(o, null);
        return s;
    }
...

O programa se comporta corretamente quando o parâmetro sCSCode é um valor benigno, como "return 8 + 7 * 2". Nesse caso, 22 é o valor de retorno da função CEval. No entanto, se um invasor especificar operações de linguagem tanto válidas quanto mal-intencionadas, estas serão executadas com o privilégio total do processo pai. Esses ataques são ainda mais perigosos quando a linguagem subjacente fornece acesso a recursos do sistema ou permite a execução de comandos do sistema. Por exemplo, o .Net permite a invocação de APIs do Windows. Se um invasor fosse especificar " return System.Diagnostics.Process.Start(\"shutdown\", \"/s /t 0\");" como valor de operation, um comando de desligamento seria executado no sistema host.

Muitas linguagens de programação modernas permitem a interpretação dinâmica de instruções de origem. Com essa capacidade, os programadores podem realizar instruções dinâmicas com base na entrada recebida do usuário. Vulnerabilidades de injeção de código ocorrem quando o programador pressupõe incorretamente que as instruções fornecidas diretamente pelo usuário executarão somente operações inocentes, como cálculos simples em objetos de usuário ativos ou qualquer outro tipo de modificação do estado do usuário. No entanto, sem a devida validação, um usuário pode especificar operações não pretendidas pelo programador.

Exemplo: Nesse exemplo clássico de injeção de código, o aplicativo implementa uma calculadora básica que permite ao usuário especificar comandos para execução.

...
	userOp = form.operation.value;
	calcResult = eval(userOp);
...

O programa se comporta corretamente quando o parâmetro operation é um valor benigno, como "8 + 7 * 2". Nesse caso, a variável calcResult recebe um valor de 22. No entanto, se um invasor especificar operações de linguagens tanto válidas quanto mal-intencionadas, estas serão executadas com o privilégio total do processo pai. Esses ataques são ainda mais perigosos quando a linguagem subjacente fornece acesso a recursos do sistema ou permite a execução de comandos do sistema. No caso de JavaScript, o invasor pode utilizar essa vulnerabilidade para realizar um ataque de Cross-Site Scripting.

Muitas linguagens de programação modernas permitem a interpretação dinâmica de instruções de origem. Com essa capacidade, os programadores podem realizar instruções dinâmicas com base na entrada recebida do usuário. Vulnerabilidades de injeção de código ocorrem quando o programador pressupõe incorretamente que as instruções fornecidas diretamente pelo usuário executarão somente operações inocentes, como cálculos simples em objetos de usuário ativos ou qualquer outro tipo de modificação do estado do usuário. No entanto, sem a devida validação, um usuário pode especificar operações não pretendidas pelo programador.

Exemplo: Este código usa a entrada de um UITextField para alterar dinamicamente a cor de fundo do conteúdo dentro de um WKWebView:

...
@property (strong, nonatomic) WKWebView *webView;
@property (strong, nonatomic) UITextField *inputTextField;
...
[_webView evaluateJavaScript:[NSString stringWithFormat:@"document.body.style.backgroundColor="%@";", _inputTextField.text] completionHandler:nil];
...

O programa se comporta corretamente quando a entrada UITextField é um valor benigno, como "blue". Nesse caso, o elemento <body> dentro do webView seria estilizado para ter um fundo azul. No entanto, se um invasor mal-intencionado fornecer dados que ainda sejam válidos, ele ou ela pode ser capaz de executar códigos JavaScript arbitrários. Por exemplo, uma vez que o JavaScript pode acessar certos tipos de informações privadas, tais como cookies, se um invasor especificasse "white";document.body.innerHTML=document.cookie;"" como entrada para o UITextField, as informações de cookie seriam escritas visivelmente na página. Tais ataques são ainda mais perigosos quando a linguagem subjacente fornece acesso a recursos do sistema ou permite a execução de comandos do sistema, como nas situações nas quais o código injetado é executado com o privilégio completo do processo pai.

Muitas linguagens de programação modernas permitem a interpretação dinâmica de instruções de origem. Com essa capacidade, os programadores podem realizar instruções dinâmicas com base na entrada recebida do usuário. Vulnerabilidades de injeção de código ocorrem quando o programador pressupõe incorretamente que as instruções fornecidas diretamente pelo usuário executarão somente operações inocentes, como cálculos simples em objetos de usuário ativos ou qualquer outro tipo de modificação do estado do usuário. No entanto, sem a devida validação, um usuário pode especificar operações não pretendidas pelo programador.

Exemplo: Nesse exemplo clássico de injeção de código, o aplicativo implementa uma calculadora básica que permite ao usuário especificar comandos para execução.

...
	$userOps = $_GET['operation'];
	$result = eval($userOps);
...

O programa se comporta corretamente quando o parâmetro operation é um valor benigno, como "8 + 7 * 2". Nesse caso, a variável result recebe um valor de 22. No entanto, se um invasor especificar as operações que são válidas e mal-intencionadas, essas operações seriam executadas com o privilégio total do processo pai. Esses ataques são ainda mais perigosos quando a linguagem subjacente fornece acesso a recursos do sistema ou permite a execução de comandos do sistema. Por exemplo, se um invasor especificasse " exec('shutdown -h now')" como o valor de operation, um comando shutdown seria executado no sistema do host.

Muitas linguagens de programação modernas permitem a interpretação dinâmica de instruções de origem. Com essa capacidade, os programadores podem realizar instruções dinâmicas com base na entrada recebida do usuário. Vulnerabilidades de injeção de código ocorrem quando o programador pressupõe incorretamente que as instruções fornecidas diretamente pelo usuário executarão somente operações inocentes, como cálculos simples em objetos de usuário ativos ou qualquer outro tipo de modificação do estado do usuário. No entanto, sem a devida validação, um usuário pode especificar operações não pretendidas pelo programador.

Exemplo: Nesse exemplo clássico de injeção de código, o aplicativo implementa uma calculadora básica que permite ao usuário especificar comandos para execução.

...
userOps = request.GET['operation']
result = eval(userOps)
...

O programa se comporta corretamente quando o parâmetro operation é um valor benigno, como "8 + 7 * 2". Nesse caso, a variável result recebe um valor de 22. No entanto, se um invasor especificar as operações que são válidas e mal-intencionadas, essas operações seriam executadas com o privilégio total do processo pai. Esses ataques são ainda mais perigosos quando a linguagem subjacente fornece acesso a recursos do sistema ou permite a execução de comandos do sistema. Por exemplo, se um invasor especificar " os.system('shutdown -h now')" como o valor da operation, um comando de desligamento seria executado no sistema host.

Muitas linguagens de programação modernas permitem a interpretação dinâmica de instruções de origem. Com essa capacidade, os programadores podem realizar instruções dinâmicas com base na entrada recebida do usuário. Vulnerabilidades de injeção de código ocorrem quando o programador pressupõe incorretamente que as instruções fornecidas diretamente pelo usuário executarão somente operações inocentes, como cálculos simples em objetos de usuário ativos ou qualquer outro tipo de modificação do estado do usuário. No entanto, sem a devida validação, um usuário pode especificar operações não pretendidas pelo programador.
Exemplo: Neste exemplo de injeção de código, o aplicativo implementa uma calculadora de base, que permite ao usuário especificar comandos para execução.

...
  user_ops = req['operation']
  result = eval(user_ops)
...

O programa se comporta corretamente quando o parâmetro operation é um valor benigno, como "8 + 7 * 2". Nesse caso, a variável result recebe um valor de 22. No entanto, se um invasor especificar operações de linguagens tanto válidas quanto mal-intencionadas, estas serão executadas com o privilégio total do processo pai. Esses ataques são ainda mais perigosos quando a linguagem subjacente fornece acesso a recursos do sistema ou permite a execução de comandos do sistema. Com Ruby isso é permitido, e como vários comandos podem ser executados ao delimitar as linhas com um ponto e vírgula (;), isso também permitiria a execução de vários comandos com uma simples injeção sem, no entanto, quebrar o programa.
Se um invasor enviasse "system(\"nc -l 4444 &\");8+7*2" ao parâmetro operation, isso poderia abrir a porta 4444 para escutar uma conexão na máquina e depois ainda retornar o valor 22 para result

Muitas linguagens de programação modernas permitem a interpretação dinâmica de instruções de origem. Com essa capacidade, os programadores podem realizar instruções dinâmicas com base na entrada recebida do usuário. Vulnerabilidades de injeção de código ocorrem quando o programador pressupõe incorretamente que as instruções fornecidas diretamente pelo usuário executarão somente operações inocentes, como cálculos simples em objetos de usuário ativos ou qualquer outro tipo de modificação do estado do usuário. No entanto, sem a devida validação, um usuário pode especificar operações não pretendidas pelo programador.

Exemplo: Este código usa a entrada de um UITextField para alterar dinamicamente a cor de fundo do conteúdo dentro de um WKWebView:

...
var webView : WKWebView
var inputTextField : UITextField
...
webView.evaluateJavaScript("document.body.style.backgroundColor="\(inputTextField.text)";" completionHandler:nil)
...

O programa se comporta corretamente quando a entrada UITextField é um valor benigno, como "blue". Nesse caso, o elemento <body> dentro do webView seria estilizado para ter um fundo azul. No entanto, se um invasor mal-intencionado fornecer dados que ainda sejam válidos, ele ou ela pode ser capaz de executar códigos JavaScript arbitrários. Por exemplo, uma vez que o JavaScript pode acessar certos tipos de informações privadas, tais como cookies, se um invasor especificasse "white";document.body.innerHTML=document.cookie;"" como entrada para o UITextField, as informações de cookie seriam escritas visivelmente na página. Tais ataques são ainda mais perigosos quando a linguagem subjacente fornece acesso a recursos do sistema ou permite a execução de comandos do sistema, como nas situações nas quais o código injetado é executado com o privilégio completo do processo pai.

Muitas linguagens modernas permitem uma interpretação dinâmica das instruções de origem. Essa capacidade pode ser utilizada quando o programador precisa executar instruções fornecidas pelo usuário nos dados, mas prefere utilizar os constructos da linguagem subjacente em vez de implementar um código para interpretar a entrada do usuário. Espera-se que as instruções fornecidas pelo usuário sejam operações inocentes, como pequenos cálculos sobre objetos do usuário ativo, a modificação do estado de objetos do usuário, etc. No entanto, se um programador não for cuidadoso, um usuário pode especificar operações além das intenções do programador.

Exemplo: Um exemplo de aplicativo clássico que pode permitir que constructos de programação subjacentes sejam especificados pelo usuário é uma calculadora. O seguinte código ASP aceita que as operações matemáticas básicas do usuário sejam calculadas e retornadas:

...
	strUserOp = Request.Form('operation')
	strResult = Eval(strUserOp)
...

O comportamento desejado do programa apresenta um exemplo no qual o parâmetro operation é "8 + 7 * 2". A variável strResult retorna um valor de 22. No entanto, se um usuário especificar outras operações de linguagem válidas, elas não só seriam executadas, como executadas com o privilégio completo do processo pai. A execução de código arbitrário torna-se mais perigosa quando a linguagem subjacente fornece acesso a recursos do sistema ou permite a execução de comandos do sistema. Por exemplo, se um invasor especificar operation como " Shell('C:\WINDOWS\SYSTEM32\TSSHUTDN.EXE 0 /DELAY:0 /POWERDOWN')" um comando de desligamento será executado no sistema host.