Was ist eine Befehlsinjektion?
Eine Befehlsinjektion ist eine Ausnutzung einer Systemschwäche, um Zugriff auf das System zu erhalten, um böswilligen Code auszuführen, Benutzerdaten zu ernten und andere Aktivitäten zu betreiben. Während es ein Potenzial für eine Befehlsinjektion gibt, harmlos zu sein, ist dies normalerweise nicht der Fall, und sie kann eine erhebliche Sicherheitsbedrohung darstellen. Es gibt eine Reihe von Problemumgehungen, die diese Aktivität in Computersystemen verhindern. Mit Formularen können Personen Daten eingeben und dann vom System verarbeitet werden. Wenn der in das Formular eingegebene Datentyp keine Einschränkungen gibt, ist es möglich, dass Personen den Computercode eingeben, den das System liest und ausführt. Formulare auf Webseiten können auch die Eingabe in andere Benutzer konvertieren und auch andere Personen aussetzen. Zum Beispiel könnte jemand ein böswilliges Skript in den Kommentaren auf einer Website hinterlassen.
Wenn der Code ExECUTES, es kann so sein, dass Menschen den Zugang zum Backend eines Computersystems einschließlich administrativen Zugriffs erhalten und auch Viren und Malware auf einem Computersystem anpflanzen können. Befehlsinjektionen können so ausgelegt sein, dass sie sich verteilen, da infizierte Computer mit nicht infizierten Computern über ein Netzwerk interagieren. Sie können sich sehr schnell ausbreiten und können auf dem Weg erhebliche Schäden verursachen.
Eine Möglichkeit, eine Befehlsinjektion zu vermeiden, besteht darin, Formulare und andere Eingaben auf eine Weise zu entwerfen, die einschränken soll, was Menschen eingeben können. In Internet -Kommentaren würde es beispielsweise wahrscheinlich keinen legitimen Grund für Benutzer geben, Skripts einzugeben, und das Kommentarformular könnte einfach das Skript ablehnen und gleichzeitig HTML für Markup und Styling ermöglichen. Ebenso könnten in einem Computerprogramm die Eingabeformulare Eingänge bestimmter Zeichen ablehnen und verhindern, dass Personen Code im Formular ausführen.
Der potenzielle RisikovorsitzerNted durch die Kommandoinjektion wurde erstmals in den neunziger Jahren festgestellt. Zahlreiche Designer haben das Problem angepasst und verschiedene Möglichkeiten entwickelt, um Befehlseinspritzangriffe zu verhindern oder zu stoppen. Hacker haben auch versucht, ihre eigenen Problemumgehungen zu entwickeln und neue und kreative Wege zu entwickeln, um Code über Schwachstellen in einem Computersystem auszuführen. Einige Menschen entwickeln neue Techniken aus rein akademischer Interesse und führen gelegentlich versehentlich Chaos an, wenn ihre Forschung sozusagen in die Wildnis entkommt.