Une injection de commande est un exploit d'une faiblesse du système pour accéder au système dans le but d'exécuter du code malveillant, de récolter les données utilisateur et de s'engager dans d'autres activités.Bien qu'il y ait un potentiel pour qu'une injection de commande soit de nature bénigne, ce n'est généralement pas le cas, et elle peut présenter une menace de sécurité importante.Il existe un certain nombre de solutions de contournement conçues pour empêcher cette activité dans les systèmes informatiques.

L'un des points de vulnérabilité les plus courants pour une injection de commande est un formulaire, soit sur une page Web ou dans un système informatique.Les formulaires permettent aux gens de saisir des données et sont ensuite traités par le système.S'il n'y a aucune contrainte sur le type de données entrées dans le formulaire, il est possible pour les gens de saisir le code informatique que le système lira et exécutera.Les formulaires sur les pages Web peuvent également convertir l'entrée en affichage en d'autres utilisateurs, exposant également d'autres personnes au code;Par exemple, quelqu'un pourrait laisser un script malveillant dans les commentaires sur un site Web.

Lorsque le code s'exécute, il peut faire des choses comme fournir aux gens un accès au backend d'un système informatique, y compris l'accès administratif, et pourrait également planter des virus etmalware sur un système informatique.Les injections de commande peuvent être conçues pour se propager, car les ordinateurs infectés interagissent avec des ordinateurs non infectés sur un réseau.Ils peuvent se propager très rapidement et peuvent causer des dommages substantiels en cours de route.

Une façon d'éviter une injection de commande est de concevoir des formulaires et d'autres entrées d'une manière conçue pour restreindre ce que les gens peuvent entrer.Sur les commentaires sur Internet, par exemple, il n'y aurait probablement pas de raison légitime pour que les utilisateurs entrent dans des scripts, et le formulaire de commentaire pourrait simplement rejeter le script, tout en autorisant HTML pour le balisage et le style.De même, dans un programme informatique, les formulaires d'entrée pourraient refuser les entrées de certains caractères, empêchant les gens d'exécuter du code sous la forme.

Le risque potentiel présenté par l'injection de commande a été noté pour la première fois dans les années 1990.De nombreux concepteurs ont abordé le problème et trouvé diverses façons de prévenir ou d'arrêter les attaques d'injection de commandement.Les pirates ont également tenté de développer leurs propres solutions de contournement, développant de nouvelles façons créatives d'exécuter du code par des points faibles dans un système informatique.Certaines personnes développent de nouvelles techniques par intérêt purement académique et font parfois des ravages par accident lorsque leurs recherches s'échappent dans la nature, pour ainsi dire.