コマンドインジェクションとは何ですか?
コマンドインジェクションとは、悪意のあるコードの実行、ユーザーデータの収穫、その他のアクティビティへの関与を目的として、システムの弱点を活用してシステムの弱点を活用します。コマンドインジェクションが本質的に良性である可能性がありますが、通常はそうではなく、重大なセキュリティの脅威をもたらすことができます。コンピューターシステムでこのアクティビティを防ぐために設計された多くの回避策があります。
コマンドインジェクションの脆弱性の最も一般的なポイントの1つは、Webページまたはコンピューターシステムのいずれかのフォームです。フォームにより、人々はデータを入力し、システムによって処理されます。フォームに入力されたデータのタイプに制約がない場合、システムが読み取り、実行するコンピューターコードを入力することができます。 Webページ上のフォームは、入力を他のユーザーに表示に変換し、他の人もコードにさらします。たとえば、誰かがウェブサイトのコメントに悪意のあるスクリプトを残すことができます。
エクサは、管理アクセスを含むコンピューターシステムのバックエンドへのアクセスを人々に提供するなど、コンピューターシステムにウイルスやマルウェアを植えることもできます。感染したコンピューターがネットワークを介して感染していないコンピューターと相互作用するため、コマンドインジェクションはそれ自体を広めるように設計されている場合があります。彼らは非常に急速に広がる可能性があり、途中で大きな損害を与える可能性があります。
コマンドインジェクションを回避する1つの方法は、人々が入力できるものを制限するように設計された方法でフォームやその他の入力を設計することです。たとえば、インターネットのコメントでは、ユーザーがスクリプトを入力する正当な理由はない可能性が高く、コメントフォームは単にスクリプトを拒否し、マークアップとスタイリングのためにHTMLを許可します。同様に、コンピュータープログラムでは、入力フォームは特定の文字の入力を拒否し、フォームでコードを実行するのを防ぐことができます。
潜在的なリスクプレゼコマンドインジェクションによってNTEDが1990年代に最初に注目されました。多くのデザイナーがこの問題に取り組み、コマンドインジェクション攻撃を防止または停止するさまざまな方法を考え出しています。ハッカーはまた、独自の回避策を開発しようとし、コンピューターシステムの弱点を介してコードを実行する新しい創造的な方法を開発しました。一部の人々は、純粋に学問的な関心から新しいテクニックを開発し、研究がいわば野生に逃げるときに偶然に大混乱をもたらすことがあります。