Wat is een commando -injectie?
Een opdrachtinjectie is een exploitatie van een systeemzwakte om toegang te krijgen tot het systeem om kwaadaardige code uit te voeren, gebruikersgegevens te oogsten en andere activiteiten te ondernemen. Hoewel er een potentieel is dat een commando -injectie goedaardig van aard is, is dat meestal niet, en het kan een belangrijke veiligheidsdreiging vormen. Er zijn een aantal oplossingen ontworpen om deze activiteit in computersystemen te voorkomen.
Een van de meest voorkomende punten van kwetsbaarheid voor een opdrachtinjectie is een formulier, hetzij op een webpagina of in een computersysteem. Formulieren stellen mensen in staat om gegevens in te voeren en worden vervolgens door het systeem verwerkt. Als er geen beperkingen zijn op het type gegevens dat in het formulier is ingevoerd, is het mogelijk voor mensen om computercode in te voeren die het systeem zal lezen en uitvoeren. Formulieren op webpagina's kunnen ook de invoer converteren om aan andere gebruikers weer te geven, andere mensen bloot te stellen aan coderen; Iemand kan bijvoorbeeld een kwaadaardig script achterlaten in de reacties op een website.
Wanneer de code exECUTES, het kan dingen doen zoals mensen toegang bieden tot de backend van een computersysteem, inclusief administratieve toegang, en kan ook virussen en malware op een computersysteem planten. Commando -injecties kunnen worden ontworpen om zich te verspreiden, omdat geïnfecteerde computers interageren met niet -geïnfecteerde computers via een netwerk. Ze kunnen zich zeer snel verspreiden en kunnen onderweg aanzienlijke schade veroorzaken.
Een manier om een commando -injectie te voorkomen, is door vormen en andere inputs te ontwerpen op een manier die is ontworpen om te beperken wat mensen kunnen binnenkomen. Op internetreacties zou er bijvoorbeeld waarschijnlijk geen legitieme reden zijn voor gebruikers om scripts in te voeren, en het commentaarformulier zou het script eenvoudig kunnen afwijzen, terwijl HTML nog steeds wordt toegestaan voor markup en styling. Evenzo kunnen in een computerprogramma de invoerformulieren invoer van bepaalde tekens weigeren, waardoor mensen niet code in het formulier uitvoeren.
Het potentiële risico preesNet door de commando -injectie werd voor het eerst opgemerkt in de jaren negentig. Talloze ontwerpers hebben het probleem aangepakt en verschillende manieren bedenken om commando -injectieaanvallen te voorkomen of te stoppen. Hackers hebben ook geprobeerd hun eigen tijdelijke oplossingen te ontwikkelen en nieuwe en creatieve manieren te ontwikkelen om code uit te voeren via zwakke punten in een computersysteem. Sommige mensen ontwikkelen nieuwe technieken uit puur academische interesse en veroorzaken af en toe per ongeluk schade wanneer hun onderzoek naar het wild ontsnapt, om zo te zeggen.