Hvad er en kommandoinjektion?
En kommandoinjektion er en udnyttelse af en systemsvaghed for at få adgang til systemet med det formål at udføre ondsindet kode, høste brugerdata og deltage i andre aktiviteter. Mens der er et potentiale for, at en kommandoinjektion er godartet, er den normalt ikke det, og den kan udgøre en betydelig sikkerhedstrussel. Der er en række løsninger, der er designet til at forhindre denne aktivitet i computersystemer.
Et af de mest almindelige sårbarhedspunkter for en kommandoinjektion er en formular, enten på en webside eller i et computersystem. Formularer giver folk mulighed for at indtaste data og behandles derefter af systemet. Hvis der ikke er nogen begrænsninger for den type data, der er indtastet i formularen, er det muligt for folk at indtaste computerkode, som systemet vil læse og udføre. Formularer på websider kan også konvertere input til visning til andre brugere og eksponere andre for kode også; for eksempel kunne nogen efterlade et ondsindet script i kommentarerne på et websted.
Når koden udføres, kan den muligvis gøre ting som at give folk adgang til backend af et computersystem, inklusive administrativ adgang, og det kan også plante vira og malware på et computersystem. Kommandoinjektioner kan være designet til at sprede sig selv, da inficerede computere interagerer med uinficerede computere over et netværk. De kan sprede sig meget hurtigt og kan forårsage betydelig skade undervejs.
En måde at undgå en kommandoinjektion er at designe formularer og andre input på en måde designet til at begrænse, hvad folk kan indtaste. For eksempel på internetkommentarer ville der sandsynligvis ikke være nogen legitim grund for brugere til at indtaste scripts, og kommentarformularen kan simpelthen afvise script, mens den stadig tillader HTML til markering og styling. På samme måde i et computerprogram kunne inputformularerne nægte input fra bestemte tegn og forhindre folk i at udføre kode i formularen.
Den potentielle risiko, der blev præsenteret ved kommandoinjektionen, blev først bemærket i 1990'erne. Talrige designere har løst problemet og fundet forskellige måder at forhindre eller stoppe kommandoinjektionsangreb på. Hackere har også forsøgt at udvikle deres egne løsninger, og udvikle nye og kreative måder at udføre kode gennem svage punkter i et computersystem. Nogle mennesker udvikler nye teknikker af rent akademisk interesse og til tider forstyrrer tilfældigt, når deres forskning slipper ud i naturen, så at sige.