이번 장에서는 Command Injection에 대해서 다뤄 보았다.
위는 IP주소를 입력하면 그에 대한 핑을 가져오는 프로그램인것같다.
다음과 같은 방식 일 것이다.
코드를 보면 그와 같은 코드로 구성되어있다. -c 4 로 4번 핑을 가져오는 것이다.
하지만 다음과 같은 방식으로 입력 되면 마음대로 명령어를 실행할 수 있다.'
이런 방식으로 말이다.
이를 방지하기 위해서 입력받은 값을 system함수를 사용하는것이 아니라 제공하는 함수를 사용하라고 권장하고 있다. 또는 입력받은 값을 검증하는 방식도 같이 사용되어야 한다.
'정보보안 > 화이트 해커를 위한 웹해킹의 기술' 카테고리의 다른 글
| Cross Site Request Forgery (0) | 2022.02.05 |
|---|---|
| Cross-site scripting (0) | 2022.02.02 |
| Blind SQL Injection (0) | 2022.01.29 |
| SQL Injection (0) | 2022.01.25 |
| 취약한 인증 공격 (0) | 2022.01.25 |