Hva er en kommandoinjeksjon?
En kommandoinjeksjon er en utnyttelse av en systemsvakhet for å få tilgang til systemet med det formål å utføre ondsinnet kode, høste brukerdata og delta i andre aktiviteter. Selv om det er et potensial for at en kommandoinjeksjon er godartet, er det vanligvis ikke, og det kan presentere en betydelig sikkerhetstrussel. Det er en rekke løsninger designet for å forhindre denne aktiviteten i datasystemer.
Et av de vanligste punktene med sårbarhet for en kommandoinjeksjon er et skjema, enten på en webside eller i et datasystem. Skjemaer lar folk legge inn data og blir deretter behandlet av systemet. Hvis det ikke er noen begrensninger for hvilken type data som er lagt inn i skjemaet, er det mulig for folk å legge inn datakode som systemet vil lese og utføre. Skjemaer på websider kan også konvertere inngangen til visning til andre brukere, og utsetter andre mennesker også for kode; For eksempel kan noen legge igjen et ondsinnet manus i kommentarene til et nettsted.
Når koden EXØkninger, det kan gjøre ting som å gi folk tilgang til backend of a Datasystem, inkludert administrativ tilgang, og kan også plante virus og malware på et datasystem. Kommandoinjeksjoner kan være designet for å spre seg selv, da infiserte datamaskiner samhandler med uinfiserte datamaskiner over et nettverk. De kan spre seg veldig raskt og kan forårsake betydelig skade underveis.
En måte å unngå en kommandoinjeksjon er å designe skjemaer og andre innganger på en måte designet for å begrense hva folk kan komme inn. På Internett -kommentarer vil det for eksempel sannsynligvis ikke være noen legitim grunn for brukere til å legge inn skript, og kommentarskjemaet kan ganske enkelt avvise skript, mens de fremdeles tillater HTML for markering og styling. På samme måte, i et dataprogram, kan inngangsskjemaene nekte innganger av visse tegn, og hindre folk i å utføre kode i skjemaet.
Potensielle risikovurderingNted av kommandoinjeksjonen ble først notert på 1990 -tallet. Tallrike designere har taklet problemet og kommet med forskjellige måter å forhindre eller stoppe kommandoinjeksjonsangrep. Hackere har også forsøkt å utvikle sine egne løsninger, og utvikle nye og kreative måter å utføre kode gjennom svake punkter i et datasystem. Noen mennesker utvikler nye teknikker av rent akademisk interesse og ødelegger av og til ved et uhell når forskningen deres slipper ut i naturen, så å si.