728x90
• OS Command Injection
- 웹 서비스 기능에 따라 가끔 시스템 명령어를 사용하는 경우가 있다. 예를 들어 현제 서버의 업로드 디렉터리를 조회하는 경우 ls 명령어를 이용하여 결과 값을 웹 페이지에 출력하는 경우가 있다.
만약 시스템 함수의 인자 값을 사용자가 입력하거나 조작할 수 있다면 공격자는 자신이 원하는 시스템 명령을 수행 시키는게 OS Command Injection 공격이다.
| 메타 문자 | 설명 |
| && | 명령어 연속 실행(앞 명령어에 오류가 없어야 실행이 가능) |
| || | 명령어 연속 실행(앞 명령어에 오류가 나야 실행 가능) |
| ; | 명령어 구분자(앞 명령어 에러와 상관없이 실행 가능) |
| %0a | 개행 문자 |
• Secure Coding
- 꼭 필요한게 아니라면 시스템 함수 사용 금지이며, 만약 필요한 경우 사용자 입력 값에 대한 불필요한 입력값 필터링 추가를 한다.
'S-DEV > 웹 해킹 보안과 공격' 카테고리의 다른 글
| XSS(Cross-Site Scripting) (0) | 2023.07.22 |
|---|---|
| SQL Injection (0) | 2023.07.21 |
| 웹 해킹이란? (0) | 2023.07.21 |
