command injection
2024. 3. 6. 18:01ㆍStudy/web
320x100
320x100
injection
악의적인 데이터를 프로그램에 입력하여 이를 시스템 명령어, 코드, 데이터베이스 쿼리 등으로 실행되게 하는 기법
command injection
이용자의 입력을 시스템 명령어로 실행하게 하는 취약점
명령어를 실행하는 함수에 이용자가 임의의 인자를 전달할 수 있을 때 발생함
파이썬 웹 애플리케이션에서 입력한 임의 IP에 ping 전송하고 싶을 때
os.system("ping [user-input]")
임의 파일을 읽고 싶을 때
os.system("cat [user-input]")
메타문자
' ' 명령어 치환
$() 명령어 치환
&& 명령어 연속 실행
|| 명령어 연속 실행
; 명령어 구분자
| 파이프 : 앞 명령어의 결과가 뒷 명령어의 입력으로 들어감
320x100
320x100
'Study > web' 카테고리의 다른 글
| SSRF (0) | 2024.05.06 |
|---|---|
| File Vulnerability (0) | 2024.05.06 |
| cookie & session (0) | 2023.10.13 |
| web (0) | 2023.10.12 |
| command injection (0) | 2023.08.30 |