¿Qué es una inyección de comando?
Una inyección de comando es una exploit de una debilidad del sistema para obtener acceso al sistema con el fin de ejecutar código malicioso, cosechar datos de los usuarios y participar en otras actividades. Si bien existe el potencial de que una inyección de comando sea de naturaleza benigna, generalmente no lo es, y puede presentar una amenaza de seguridad significativa. Hay una serie de soluciones diseñadas para prevenir esta actividad en los sistemas informáticos.
Uno de los puntos más comunes de vulnerabilidad para una inyección de comando es una forma, ya sea en una página web o en un sistema informático. Los formularios permiten a las personas ingresar datos y luego son procesados por el sistema. Si no hay restricciones en el tipo de datos ingresados en el formulario, es posible que las personas ingresen el código de computadora que el sistema leerá y ejecutará. Los formularios en las páginas web también pueden convertir la entrada para mostrar a otros usuarios, exponiendo también a otras personas a codificar; Por ejemplo, alguien podría dejar un script malicioso en los comentarios en un sitio web.
Cuando el código exEcutes, puede hacer cosas como proporcionar a las personas acceso al backend de un sistema informático, incluido el acceso administrativo, y también podría plantar virus y malware en un sistema informático. Las inyecciones de comandos pueden diseñarse para propagarse, ya que las computadoras infectadas interactúan con computadoras no infectadas a través de una red. Pueden extenderse muy rápidamente y pueden causar daños sustanciales en el camino.
Una forma de evitar una inyección de comando es diseñar formularios y otras entradas de una manera diseñada para restringir lo que las personas pueden ingresar. En los comentarios de Internet, por ejemplo, es probable que no haya una razón legítima para que los usuarios ingresen scripts, y el formulario de comentarios simplemente podría rechazar el script, al tiempo que permite HTML para el marcado y el estilo. Del mismo modo, en un programa de computadora, los formularios de entrada podrían rechazar las entradas de ciertos caracteres, evitando que las personas ejecuten código en el formulario.
El riesgo potencial presentaNTTE por la inyección de comando se observó por primera vez en la década de 1990. Numerosos diseñadores han abordado el problema y han encontrado varias formas de prevenir o detener los ataques de inyección de comandos. Los piratas informáticos también han intentado desarrollar sus propias soluciones, desarrollando formas nuevas y creativas para ejecutar el código a través de puntos débiles en un sistema informático. Algunas personas desarrollan nuevas técnicas con interés puramente académico y ocasionalmente causan estragos por accidente cuando su investigación se escapa a la naturaleza, por así decirlo.