コマンドインジェクションとは
コマンドインジェクションは、悪意のあるコードを実行し、ユーザーデータを収集し、他のアクティビティを行う目的でシステムにアクセスするためのシステムの弱点の悪用です。 コマンドインジェクションは本質的に無害である可能性がありますが、通常はそうではなく、重大なセキュリティ上の脅威になる可能性があります。 コンピュータシステムでこのアクティビティを防ぐために設計された回避策がいくつかあります。
コマンドインジェクションの脆弱性の最も一般的なポイントの1つは、Webページまたはコンピューターシステムのフォームです。 フォームを使用すると、ユーザーはデータを入力でき、システムによって処理されます。 フォームに入力されるデータの種類に制約がない場合、システムが読み取り、実行するコンピューターコードを入力することができます。 Webページ上のフォームは、入力を他のユーザーに表示するように変換し、他の人もコードにさらす可能性があります。 たとえば、誰かがWebサイトのコメントに悪意のあるスクリプトを残す可能性があります。
コードが実行されると、管理アクセスを含め、コンピューターシステムのバックエンドへのアクセスをユーザーに提供するなどのことを実行したり、コンピューターシステムにウイルスやマルウェアを植え付けたりする可能性があります。 コマンドインジェクションは、感染したコンピュータがネットワークを介して感染していないコンピュータとやり取りするため、拡散するように設計されている場合があります。 それらは非常に急速に広がり、途中でかなりの損傷を引き起こす可能性があります。
コマンドインジェクションを回避する1つの方法は、ユーザーが入力できるものを制限するように設計された方法でフォームやその他の入力を設計することです。 たとえば、インターネットのコメントでは、ユーザーがスクリプトを入力する正当な理由はない可能性が高く、コメントフォームはスクリプトを単に拒否するだけで、マークアップとスタイリングにHTMLを使用できます。 同様に、コンピュータープログラムでは、入力フォームが特定の文字の入力を拒否し、ユーザーがフォームでコードを実行できないようにします。
コマンドインジェクションによって提示される潜在的なリスクは、1990年代に初めて注目されました。 多くの設計者が問題に取り組み、コマンドインジェクション攻撃を防止または阻止するためのさまざまな方法を考え出しました。 ハッカーは、コンピューターシステムの弱点を介してコードを実行する新しい創造的な方法を開発し、独自の回避策を開発しようとしました。 一部の人々は、純粋に学問的な関心から新しい技術を開発し、いわば研究が野生に逃れたときに偶然に大混乱を引き起こします。