Co to jest zastrzyk poleceń?
Wstrzyknięcie polecenia to wykorzystanie słabości systemu do uzyskania dostępu do systemu w celu wykonania złośliwego kodu, zbierania danych użytkownika i wykonywania innych czynności. Chociaż istnieje możliwość, że zastrzyk poleceń ma charakter łagodny, zwykle tak nie jest i może stanowić poważne zagrożenie bezpieczeństwa. Istnieje wiele sposobów obejścia tego problemu w systemach komputerowych.
Jednym z najczęstszych punktów podatności na iniekcję polecenia jest formularz, na stronie internetowej lub w systemie komputerowym. Formularze umożliwiają wprowadzanie danych, a następnie są przetwarzane przez system. Jeśli nie ma ograniczeń co do rodzaju danych wprowadzanych do formularza, istnieje możliwość wprowadzenia kodu komputerowego, który system będzie czytał i wykonywał. Formularze na stronach internetowych mogą również konwertować dane wejściowe do wyświetlania na innych użytkowników, narażając również inne osoby na kod; na przykład ktoś może zostawić złośliwy skrypt w komentarzach na stronie internetowej.
Podczas wykonywania kodu może on zapewniać ludziom dostęp do zaplecza systemu komputerowego, w tym dostęp administracyjny, a także umieszczać wirusy i złośliwe oprogramowanie w systemie komputerowym. Zastrzyki poleceń mogą być zaprojektowane tak, aby rozprzestrzeniać się same, gdy zainfekowane komputery wchodzą w interakcje z niezainfekowanymi komputerami w sieci. Mogą rozprzestrzeniać się bardzo szybko i mogą powodować znaczne szkody po drodze.
Jednym ze sposobów uniknięcia wstrzyknięcia polecenia jest zaprojektowanie formularzy i innych danych wejściowych w taki sposób, aby ograniczyć dostęp użytkowników. Na przykład w komentarzach internetowych prawdopodobnie nie byłoby uzasadnionego powodu, aby użytkownicy wpisywali skrypty, a formularz komentarza mógłby po prostu odrzucić skrypt, jednocześnie pozwalając HTMLowi na oznaczanie i stylowanie. Podobnie w programie komputerowym formularze wejściowe mogą odmówić wprowadzenia niektórych znaków, uniemożliwiając ludziom wykonywanie kodu w formularzu.
Potencjalne ryzyko związane ze wstrzyknięciem dowodzenia zostało po raz pierwszy odnotowane w latach 90. Wielu projektantów zajęło się tym problemem i opracowało różne sposoby zapobiegania lub zatrzymywania ataków polegających na wstrzykiwaniu poleceń. Hakerzy próbowali również opracować własne obejścia, opracowując nowe i kreatywne sposoby wykonywania kodu przez słabe punkty w systemie komputerowym. Niektóre osoby opracowują nowe techniki poza czysto akademickim zainteresowaniem i czasami sieją spustoszenie przez przypadek, gdy ich badania uciekają w dzicz