Command Injection1 [SK shieldus Rookies 19기][애플리케이션 보안] - WebGoat, Bee box, Command Injection 1. Command Injection 애플리케이션에 운영체제 명령어(= 쉘 명령어)를 실행하는 기능이 존재하는 경우, 외부 입력값을 검증, 제한하지 않고 운영체제 명령어 또는 운영체제 명령어의 일부로 사용되는 경우 발생한다. 시스템의 제어권을 탈취해 해당 시스템을 원격에서 공격자가 마음대로 제어할 수 있게 된다. 1) 운영 체제 명령어를 실행하는 기능 (1) Java Runtime.getRuntime().exec("쉘 명령어") 쉘 명령어를 해당 시스템에서 실행하고 결과를 반환 (2) PHP exec("쉘 명령어") exec 설명 (3) Python subprocess.run([쉘 명령어]) os.system("쉘 명령어") 명령어 설명 2) 외부 입력값 검증, 제한 (1) 검증 추가 명령어를 실행하는 .. 2024. 3. 29. 이전 1 다음
