命令注入攻擊

Command Injection，即命令注入攻擊，是指這樣一種攻擊手段，黑客通過把HTML代碼輸入一個輸入機制(例如缺乏有效驗證限制的表格域)來改變網頁的動態生成的內容。一個惡意黑客(也被稱為破裂者cracker)可以利用這種攻擊方法來非法獲取數據或者網路資源。當用戶進入一個有命令注入漏洞的網頁時，他們的瀏覽器會通譯那個代碼，而這樣就可能會導致惡意命令掌控該用戶的電腦和他們的網路。

命令注入攻擊最初被稱為Shell命令注入攻擊，是由挪威一名程式設計師在1997年意外發現的。第一個命令注入攻擊程式能隨意地從一個網站刪除網頁，就像從磁碟或者硬碟移除檔案一樣簡單。

最常見的命令注入攻擊形式是SQL命令注入攻擊或者簡稱為SQL注入攻擊，是指破裂者利用設計上的安全漏洞，把SQL代碼貼上在網頁形式的輸入框內，獲取其網路資源或者改變數據的一種攻擊。