O que é uma injeção de comando?
Uma injeção de comando é uma exploração de uma fraqueza do sistema para obter acesso ao sistema com a finalidade de executar código malicioso, coletar dados do usuário e participar de outras atividades. Embora exista a possibilidade de uma injeção de comando ser benigna por natureza, geralmente não é, e pode representar uma ameaça significativa à segurança. Existem várias soluções alternativas projetadas para impedir essa atividade nos sistemas de computador.
Um dos pontos mais comuns de vulnerabilidade para uma injeção de comando é um formulário, em uma página da Web ou em um sistema de computador. Os formulários permitem que as pessoas insiram dados e depois são processadas pelo sistema. Se não houver restrições no tipo de dados inseridos no formulário, é possível que as pessoas insiram o código do computador que o sistema lerá e executará. Os formulários nas páginas da web também podem converter a entrada para exibição em outros usuários, expondo outras pessoas ao código também; por exemplo, alguém pode deixar um script malicioso nos comentários em um site.
Quando o código é executado, ele pode fazer coisas como fornecer às pessoas acesso ao back-end de um sistema de computador, incluindo acesso administrativo, e também pode plantar vírus e malware em um sistema de computador. As injeções de comando podem ser projetadas para se espalharem, à medida que computadores infectados interagem com computadores não infectados em uma rede. Eles podem se espalhar muito rapidamente e podem causar danos substanciais ao longo do caminho.
Uma maneira de evitar uma injeção de comando é projetar formulários e outras entradas de maneira a restringir o que as pessoas podem entrar. Nos comentários da Internet, por exemplo, provavelmente não haveria motivo legítimo para os usuários inserirem scripts, e o formulário de comentários poderia simplesmente rejeitar o script, enquanto ainda permitia HTML para marcação e estilo. Da mesma forma, em um programa de computador, os formulários de entrada podem recusar entradas de certos caracteres, impedindo que as pessoas executem o código no formulário.
O risco potencial apresentado pela injeção de comando foi observado pela primeira vez nos anos 90. Vários designers resolveram o problema e criaram várias maneiras de impedir ou interromper ataques de injeção de comando. Os hackers também tentaram desenvolver suas próprias soluções alternativas, desenvolvendo maneiras novas e criativas de executar código através de pontos fracos em um sistema de computador. Algumas pessoas desenvolvem novas técnicas por interesse puramente acadêmico e ocasionalmente causam estragos por acidente quando suas pesquisas fogem à natureza, por assim dizer.