O que é uma injeção de comando?
Uma injeção de comando é uma exploração de uma fraqueza do sistema para obter acesso ao sistema com o objetivo de executar código malicioso, colher dados do usuário e se envolver em outras atividades. Embora exista um potencial para que uma injeção de comando seja benigna de natureza, geralmente não é e pode apresentar uma ameaça significativa à segurança. Existem várias soluções alternativas projetadas para impedir essa atividade em sistemas de computador. Os formulários permitem que as pessoas inseram dados e sejam processados pelo sistema. Se não houver restrições sobre o tipo de dados inseridos no formulário, será possível que as pessoas inseram o código do computador que o sistema lerá e executará. Os formulários nas páginas da Web também podem converter a entrada para exibir para outros usuários, expondo outras pessoas a codificar também; Por exemplo, alguém poderia deixar um script malicioso nos comentários em um site.
Quando o código exEcutas, pode fazer coisas como fornecer às pessoas acesso ao back -end de um sistema de computador, incluindo acesso administrativo, e também pode plantar vírus e malware em um sistema de computador. As injeções de comando podem ser projetadas para se espalhar, pois os computadores infectados interagem com computadores não infectados em uma rede. Eles podem se espalhar muito rapidamente e podem causar danos substanciais ao longo do caminho.
Uma maneira de evitar uma injeção de comando é projetar formulários e outras entradas de uma maneira projetada para restringir o que as pessoas podem entrar. Nos comentários da Internet, por exemplo, provavelmente não haveria motivo legítimo para os usuários inserirem scripts, e o formulário de comentários poderia simplesmente rejeitar o script, enquanto ainda permitia o HTML para marcação e estilo. Da mesma forma, em um programa de computador, os formulários de entrada podem recusar entradas de certos caracteres, impedindo que as pessoas executem o código no formulário.
O risco potencial preseA injeção de comando foi observada pela primeira vez nos anos 90. Numerosos designers abordaram o problema e apresentam várias maneiras de impedir ou interromper ataques de injeção de comando. Os hackers também tentaram desenvolver suas próprias soluções alternativas, desenvolvendo maneiras novas e criativas de executar o código através de pontos fracos em um sistema de computador. Algumas pessoas desenvolvem novas técnicas com interesse puramente acadêmico e ocasionalmente causam estragos por acidente quando sua pesquisa escapa para a natureza, por assim dizer.