Notice
Recent Posts
Recent Comments
끄적끄적
Command Injection / Execution 본문
※ 무분별하게 또는 악의적으로 사용하게 되면 법적 처벌을 받을 수 있습니다. 함부로 사용하지 마세요.
Command Injection / Execution
정의
- 시스템 명령어를 호출하는 어플리케이션의 인자 값을 조작하여 의도하지 않은 시스템 명령어를 실행시키는 공격
- system(), exec(), passthru() 함수 등
- Server Side 공격
공격 방법
- 코드가 아래와 같이 있다고 하면
- exec( ping + 사용자입력값 );
- 원래는 127.0.0.1 을 입력하면 ping 127.0.0.1이 실행
- 사용자 입력값에 127.0.0.1; ls -al 이렇게 ';'을 붙이면 뒤에 명령어도 실행 가능
'해킹' 카테고리의 다른 글
HTTP 응답 분할(HTTP Response Splitting, CRLF) 취약점 (0) | 2016.05.08 |
---|---|
DRDoS ( 분산 반사 서비스 거부 공격 ) (0) | 2016.04.10 |
File Inclusion (0) | 2016.02.26 |
File Upload (0) | 2016.02.26 |
SQL Injection (0) | 2016.02.26 |
Comments