Was ist eine Befehlsinjektion?
Eine Befehlseingabe ist eine Ausnutzung einer Systemschwäche, um Zugriff auf das System zu erhalten, um böswilligen Code auszuführen, Benutzerdaten zu sammeln und andere Aktivitäten auszuführen. Es besteht zwar die Möglichkeit, dass eine Befehlsinjektion harmloser Natur ist, dies ist jedoch normalerweise nicht der Fall, und sie kann eine erhebliche Sicherheitsbedrohung darstellen. Es gibt eine Reihe von Problemumgehungen, um diese Aktivität in Computersystemen zu verhindern.
Eine der häufigsten Schwachstellen für eine Befehlseingabe ist ein Formular auf einer Webseite oder in einem Computersystem. Formulare ermöglichen die Eingabe von Daten und werden dann vom System verarbeitet. Wenn die Art der in das Formular eingegebenen Daten nicht eingeschränkt ist, können Benutzer Computercode eingeben, den das System liest und ausführt. Formulare auf Webseiten können die Eingabe auch so konvertieren, dass sie anderen Benutzern angezeigt wird, wodurch auch andere Personen dem Code ausgesetzt werden. Beispielsweise könnte jemand ein bösartiges Skript in den Kommentaren einer Website hinterlassen.
Wenn der Code ausgeführt wird, kann dies beispielsweise dazu führen, dass Benutzer Zugriff auf das Backend eines Computersystems erhalten, einschließlich Administratorzugriff, und dass Viren und Malware auf einem Computersystem installiert werden. Befehlsinjektionen können so konzipiert sein, dass sie sich selbst verbreiten, wenn infizierte Computer über ein Netzwerk mit nicht infizierten Computern interagieren. Sie können sich sehr schnell ausbreiten und dabei erhebliche Schäden verursachen.
Eine Möglichkeit, eine Befehlseingabe zu vermeiden, besteht darin, Formulare und andere Eingaben so zu gestalten, dass die Eingabe durch die Benutzer eingeschränkt wird. In Internet-Kommentaren gibt es beispielsweise wahrscheinlich keinen legitimen Grund für Benutzer, Skripte einzugeben, und das Kommentarformular könnte einfach Skripte ablehnen, während HTML weiterhin für Markups und Stile zugelassen ist. Ebenso könnten in einem Computerprogramm die Eingabeformulare Eingaben bestimmter Zeichen ablehnen, wodurch verhindert wird, dass Personen Code in dem Formular ausführen.
Das potenzielle Risiko der Befehlsinjektion wurde erstmals in den neunziger Jahren festgestellt. Zahlreiche Entwickler haben sich mit dem Problem befasst und verschiedene Methoden entwickelt, um Befehlsinjektionsangriffe zu verhindern oder zu stoppen. Hacker haben auch versucht, ihre eigenen Problemumgehungen zu entwickeln und neue und kreative Methoden zu entwickeln, um Code über Schwachstellen in einem Computersystem auszuführen. Manche Menschen entwickeln neue Techniken aus rein akademischem Interesse und richten gelegentlich aus Versehen Schaden an, wenn ihre Forschung sozusagen in die Wildnis entkommt.