Hvad er en kommandoinjektion?
En kommandoinjektion er en udnyttelse af en systems svaghed for at få adgang til systemet med det formål at udføre ondsindet kode, høste brugerdata og deltage i andre aktiviteter. Selvom der er et potentiale for, at en kommandoinjektion er godartet i naturen, er det normalt ikke, og det kan udgøre en betydelig sikkerhedstrussel. Der er en række løsninger, der er designet til at forhindre denne aktivitet i computersystemer.
Et af de mest almindelige sårbarhedspunkter for en kommandoinjektion er en form, enten på en webside eller i et computersystem. Formularer giver folk mulighed for at indtaste data og behandles derefter af systemet. Hvis der ikke er nogen begrænsninger for den indtastede type data, er det muligt for folk at indtaste computerkode, at systemet læser og udfører. Formularer på websider kan også konvertere input til visning til andre brugere, der udsætter andre mennesker for kode; For eksempel kunne nogen efterlade et ondsindet script på kommentarerne på et websted.
Når koden exEkut, det kan muligvis gøre ting som at give folk adgang til backend af et computersystem, inklusive administrativ adgang, og kan også plante vira og malware på et computersystem. Kommandoinjektioner kan være designet til at sprede sig selv, da inficerede computere interagerer med uinficerede computere over et netværk. De kan sprede sig meget hurtigt og kan forårsage betydelig skade undervejs.
En måde at undgå en kommandoinjektion er at designe formularer og andre input på en måde, der er designet til at begrænse, hvad folk kan indtaste. På internetkommentarer ville der for eksempel sandsynligvis ikke være nogen legitim grund for brugerne at indtaste scripts, og kommentarformularen kunne simpelthen afvise script, mens den stadig tillader HTML for markup og styling. Ligeledes i et computerprogram kunne inputformularerne nægte input af visse tegn, hvilket forhindrer folk i at udføre kode i form.
den potentielle risikoforknangNTED ved kommandoinjektionen blev først bemærket i 1990'erne. Talrige designere har taklet problemet og kommet med forskellige måder at forhindre eller stoppe kommandoinjektionsangreb. Hackere har også forsøgt at udvikle deres egne løsninger og udvikle nye og kreative måder at udføre kode gennem svage punkter i et computersystem. Nogle mennesker udvikler nye teknikker ud af rent akademisk interesse og skaber lejlighedsvis kaos ved et uheld, når deres forskning slipper ud i naturen, så at sige.