728x90
[2. Command Injection]
- 인젝션(Injection): 악의적인 데이터를 프로그램에 입력하여 이를 시스템 명령어, 코드, 데이터베이스 쿼리 등으로 실행되게 하는 기법
- 인젝션의 종류로는 SQL Injection도 존재함. 이 중, 이용자의 입력을 시스템 명령어로 실행하게 하는 취약점을 Command Injection이라고 부름.
Command Injection
: 명령어를 실행하는 함수에 이용자가 임의의 인자를 전달할 수 있을 때 발생함.
- 공격자는 메타 문자를 통해 임의 명령어를 실행하여 셸을 획득할 수 있음.
- 해당 취약점은 발생하는 원리는 단순하지만, 공격에 사용되면 웹 애플리케이션에 임의 명령어를 실행할 수 있어 공격 파급력이 높음.
- 이러한 취약점을 막으려면 개발자는 입력 값에 대해 메타 문자의 유무를 철저히 검사하거나 시스템 메타 문자를 해석 하지 않고 그대로 사용하는 함수를 사용해야 함.
*command-injection-1
728x90
'웹해킹 스터디' 카테고리의 다른 글
| ServerSide: File Vulnerability (1) | 2024.02.28 |
|---|---|
| ClientSide: CSRF(Cross Site Request Forgery) (0) | 2024.02.15 |
| ClientSide: XSS (0) | 2024.02.15 |
| Background: Cookie & Session (0) | 2024.02.02 |
| Introduction of Webhacking & Background:Web (1) | 2024.01.24 |