[WEB] command injection

injection악의적인 데이터를 프로그램에 입력하여 이를 시스템 명령어, 코드, 데이터베이스 쿼리 등으로 실행되게 하는 기법 command injection이용자의 입력을 시스템 명령어로 실행하게 하는 취약점명령어를 실행하는 함수에 이용자가 임의의 인자를 전달할 수 있을 때 발생함 파이썬 웹 애플리케이션에서 입력한 임의 IP에 ping 전송하고 싶을 때 os.system("ping [user-input]")  임의 파일을 읽고 싶을 때 os.system("cat [user-input]")  메타문자 ' '  명령어 치환 $()  명령어 치환 &&  명령어 연속 실행 ||  명령어 연속 실행 ;  명령어 구분자 |  파이프 : 앞 명령어의 결과가 뒷 명령어의 입력으로 들어감

2024.03.06