명령 주입 공격은 매개 변수 기반 사이트에 심각한 위협이됩니다. 공격의 배후에있는 방법은 배우기 쉽고 피해는 전체 시스템 손상에 이르기까지 다양합니다. 이러한 위험에도 불구하고 인터넷 상에있는 수많은 시스템이 이러한 형태의 공격에 취약합니다. 위협을 쉽게 유발할뿐만 아니라, 약간의 상식과 사전 고려 사항으로 거의 완전히 막을 수있는 위협이기도합니다. 이 수업은 학생들에게 매개 변수 주입에 대한 몇 가지 예를 보여줍니다. 모든 입력 데이터, 특히 OS 명령, 스크립트 및 데이터베이스 쿼리에 사용되는 데이터는 항상 위생적으로 관리하는 것이 좋습니다. 운영 체제에 명령을 주입하십시오.
명령어가 더블쿼터로 묶여있으므로 유의하고 인젝션코드를 짜줍니다. 주입할 코드는 ";ifconfig;echo " 입니다. 맨뒤의 더블쿼터를 처리하기 위해 echo 명령어를 한번더 썼습니다.
정상적으로 ifconfig 명령어가 실행 되었습니다.
'Wargame | CTF > WebHacking' 카테고리의 다른 글
| 웹고트 Insecure Communication - Insecure Login (0) | 2018.11.03 |
|---|---|
| 웹고트 AJAX Security - JSON Injection (0) | 2018.11.03 |
| 웹고트 Injection flow - Log Spoofing (0) | 2018.11.03 |
| 웹고트 Injection flow - Blind String SQL Injection (0) | 2018.11.03 |
| 웹고트 Injection flow - String SQL Injection (0) | 2018.11.03 |