Command Injection

Posted on

Apa itu command injection? Command injection adalah metode serangan di mana hacker mengubah konten yang dibuat secara dinamis pada halaman Web dengan memasukkan kode HTML ke dalam mekanisme masukan, seperti form field yang tidak memiliki batasan validasi yang efektif. Seorang hacker jahat (juga dikenal sebagai cracker) dapat memanfaatkan kerentanan itu untuk mendapatkan unauthorized access ke data atau sumber daya jaringan. Saat pengguna mengunjungi halaman Web yang terpengaruh, browser mereka menafsirkan kode tersebut, yang dapat menyebabkan perintah berbahaya dijalankan di komputer pengguna dan di seluruh jaringan mereka.

Awalnya dikenal sebagai shell command injection, proses ini secara tidak sengaja ditemukan pada tahun 1997 oleh seorang programmer di Norwegia. Command injection pertama mengakibatkan penghapusan halaman Web yang tidak disengaja dari sebuah situs, semudah menghapus file dari disk atau hard drive.

Bentuk command injection yang paling umum dikenal sebagai SQL command injection atau cukup disebut dengan SQL injection, eksploitasi keamanan di mana cracker menambahkan kode SQL (Structured Query Language) ke Web form input box untuk mendapatkan akses ke sumber daya atau membuat perubahan pada data.