command injection

conmmand injection이란?

• 악의적인 사용자가 시스템 명령어를 실행하도록 만드는 보안 취약점 중 하나.
• 이는 애플리케이션이 사용자로부터 입력을 받을때, 해당 입력이 시스템 명령어로 처리 되게 애플리케이션 코드를 조작하는것.
• 이러한 입력으로 서버 or 시스템에 대한 권한을 얻어 시스템을 손상시킨다.

---

command injection 유형

• 직접 명령어 삽입
• 블라인드 명령어 삽입

---

 

command injection 방어

• 입력 검증 및 필터링
• 쉘 명령어 대신에 파라미터화 된 시스템 명령어를 사용
• 권한 제한 
• 방화벽 사용

---

owasp가상머신에서 연습해보자

이 페이지에 www.google.com을 입력시 아래와 같이 출력딘다. 즉, 이 페이지는 nslookup명령어를 시행할것이다....

www.google.com; whoami를 입력시 아래와 같이 출력된다.

---

이 페이지도 위와 같다.