Co je příkazová injekce?
Příkazová injekce je zneužití slabosti systému k získání přístupu do systému za účelem provádění škodlivého kódu, shromažďování uživatelských dat a zapojení do jiných činností. I když existuje možnost, že příkazová injekce bude vlídná, obvykle není a může představovat významnou bezpečnostní hrozbu. Existuje řada zástupných řešení, která mají zabránit této činnosti v počítačových systémech.
Jedním z nejčastějších bodů zranitelnosti pro příkazové injekce je formulář, buď na webové stránce nebo v počítačovém systému. Formuláře umožňují lidem vkládat data a poté je systém zpracovává. Pokud neexistují žádná omezení ohledně typu dat zadaných do formuláře, je možné, aby lidé zadali počítačový kód, který systém přečte a provede. Formuláře na webových stránkách mohou také převádět vstup tak, aby se zobrazoval jiným uživatelům, a vystavovat tak ostatním lidem také kód; například někdo mohl nechat škodlivý skript v komentářích na webu.
Když se kód spustí, může to udělat například poskytnutí přístupu lidem k backendu počítačového systému, včetně přístupu pro správu, a také by mohlo zasadit viry a malware do počítačového systému. Injekce příkazů mohou být navrženy tak, aby se šířily samy, protože infikované počítače interagují s neinfikovanými počítači v síti. Mohou se šířit velmi rychle a během cesty mohou způsobit značné škody.
Jedním ze způsobů, jak se vyhnout injekci příkazů, je navrhnout formuláře a další vstupy tak, aby omezovaly to, co lidé mohou vstoupit. Například na internetových komentářích by pravděpodobně neexistoval žádný legitimní důvod pro to, aby uživatelé zadávali skripty, a formulář pro komentáře by mohl skript jednoduše odmítnout, přičemž by stále umožňoval značkování a stylování HTML. Podobně v počítačovém programu mohly vstupní formuláře odmítnout vstupy určitých znaků a bránit tak lidem v provádění kódu ve formě.
Potenciální riziko představované příkazovou injekcí bylo poprvé zaznamenáno v 90. letech. Řada designérů se tímto problémem vypořádala a přicházela s různými způsoby, jak zabránit nebo zastavit útoky na příkazové injekce. Hackeři se také pokusili vyvinout vlastní řešení, vyvinout nové a kreativní způsoby provádění kódu pomocí slabých míst v počítačovém systému. Někteří lidé vyvíjejí nové techniky z čistě akademického zájmu a občas způsobí zmatek náhodou, když jejich výzkum unikne do přírody, abych tak řekl.