Vad är en kommandoinjektion?
En kommandoinjektion är ett utnyttjande av en systemsvaghet för att få tillgång till systemet i syfte att utföra skadlig kod, skörda användardata och delta i andra aktiviteter. Även om det finns en potential för en kommandoinjektion att vara godartad i naturen, är det vanligtvis inte, och det kan utgöra ett betydande säkerhetshot. Det finns ett antal lösningar som är utformade för att förhindra denna aktivitet i datorsystem.
En av de vanligaste sårbarhetspunkterna för en kommandoinjektion är ett formulär, antingen på en webbsida eller i ett datorsystem. Formulär tillåter människor att mata in data och behandlas sedan av systemet. Om det inte finns några begränsningar för vilken typ av data som matats in i formuläret är det möjligt för människor att ange datorkod som systemet kommer att läsa och köra. Formulär på webbsidor kan också konvertera ingången till visas till andra användare och utsätta andra för kod också; Till exempel kan någon lämna ett skadligt skript i kommentarerna på en webbplats.
när koden exEcutes, det kan göra saker som att ge människor tillgång till backend av ett datorsystem, inklusive administrativ åtkomst, och kan också plantera virus och skadlig programvara på ett datorsystem. Kommandoinjektioner kan vara utformade för att sprida sig själva, eftersom infekterade datorer interagerar med oinfekterade datorer över ett nätverk. De kan spridas mycket snabbt och kan orsaka betydande skador på vägen.
Ett sätt att undvika en kommandoinjektion är att utforma formulär och andra ingångar på ett sätt som är utformat för att begränsa vad människor kan ange. På internetkommentarer, till exempel, skulle det sannolikt inte finnas något legitimt skäl för användare att ange skript, och kommentarformuläret kan helt enkelt avvisa skriptet, samtidigt som HTML tillåter HTML för markup och styling. På ett datorprogram kan på samma sätt ingångsformulärerna vägra ingångar från vissa tecken, vilket hindrar människor från att utföra kod i formuläret.
den potentiella risken förutsattNed av kommandoinjektionen noterades först på 1990 -talet. Många designers har hanterat problemet och kommit med olika sätt att förhindra eller stoppa injektionsattacker. Hackare har också försökt utveckla sina egna lösningar och utveckla nya och kreativa sätt att utföra kod genom svaga punkter i ett datorsystem. Vissa människor utvecklar nya tekniker av rent akademiskt intresse och gör ibland förödelse av misstag när deras forskning flyr ut i naturen, så att säga.