Command Injection

Un Attacco Command Injection è un metodo in cui l’hacker altera un contenuto generato dinamicamente su una pagina web, inserendo del codice HTML in meccanismo di input (il più delle volte un input box di un form html, in cui manca una concreta validazione dell’input lato server. Lato server poichè una validazione in JS lato client è facilmente bypassabile).

Un Cracker può sfruttare tale vulnerabilità per garantirsi un accesso non autorizzato ad informazioni o risorse di vario tipo. Quando un utente visita una pagina, il browser interpreta il codice, che può essere la causa dell’esecuzione di alcuni comandi malevoli nei loro computer.

Conosciuta in origine con il nome di Shell Command Injection, il processo è stato scoperto accidentalmente nel 1997 da un programmatore in Norvegia. Le forme più comuni di Command Injection sono senz’altro le SQL Injection (Ma ne esistono svariati altri tipi).

 

 

Torna all'inizio