Co to jest zastrzyk polecenia?

Wstrzyknięcie poleceń jest wykorzystaniem osłabienia systemu w celu uzyskania dostępu do systemu w celu wykonywania złośliwego kodu, zbierania danych użytkowników i angażowania się w inne działania. Chociaż istnieje potencjał, aby zastrzyk polecenia ma charakter łagodny, zwykle nie jest i może stanowić znaczące zagrożenie bezpieczeństwa. Istnieje wiele obejść zaprojektowanych w celu zapobiegania tej aktywności w systemach komputerowych.

Jednym z najczęstszych punktów podatności na wtrysk poleceń jest formularz, na stronie internetowej lub w systemie komputerowym. Formularze pozwalają ludziom wprowadzać dane, a następnie są przetwarzane przez system. Jeśli nie ma ograniczeń dotyczących rodzaju danych wprowadzonych do formularza, osoby mogą wprowadzić kod komputerowy, który system będzie odczytał i wykonuje. Formularze na stronach internetowych mogą również przekonwertować dane wejściowe, aby wyświetlać na innych użytkowników, wystawiając także inne osoby na kod; Na przykład ktoś może zostawić złośliwy skrypt w komentarzach na stronie internetowej.

Gdy kod był exECUETS, może to robić takie rzeczy, jak zapewnienie osobom dostępu do zaplecza systemu komputerowego, w tym dostępu administracyjnego, a także może sadzić wirusy i złośliwe oprogramowanie w systemie komputerowym. Zastrzyki dowodzenia mogą być zaprojektowane tak, aby się rozprzestrzeniać, ponieważ zainfekowane komputery oddziałują z niezakażonymi komputerami przez sieć. Mogą rozprzestrzeniać się bardzo szybko i mogą powodować znaczne uszkodzenia po drodze.

Jednym ze sposobów uniknięcia wstrzyknięcia polecenia jest projektowanie formularzy i innych danych wejściowych w sposób zaprojektowany w celu ograniczenia tego, co ludzie mogą wejść. Na przykład w komentarzach internetowych prawdopodobnie nie byłoby uzasadnionego powodu, dla którego użytkownicy wprowadzają skrypty, a formularz komentarza może po prostu odrzucić skrypt, jednocześnie umożliwiając HTML dla znaczników i stylizacji. Podobnie w programie komputerowym formularze wejściowe mogą odmówić wejść niektórych znaków, uniemożliwiając ludziom wykonywanie kodu w formularzu.

potencjalne ryzyko prereseNisted przez zastrzyk w dowództwie został po raz pierwszy odnotowany w latach 90. Wielu projektantów rozwiązało problem i wymyślił różne sposoby zapobiegania lub zatrzymaniu ataków wtrysku. Hakerzy próbowali również rozwinąć własne obejścia, opracowując nowe i kreatywne sposoby wykonywania kodu za pomocą słabych punktów w systemie komputerowym. Niektóre osoby rozwijają nowe techniki z czysto akademickiego zainteresowania i czasami siadają spustoszenie przez przypadek, gdy ich badania uciekają na wolność, że tak powiem.