b1ackhand 2022. 1. 29. 11:02

이번 장에서는 Command Injection에 대해서 다뤄 보았다.

 

위는 IP주소를 입력하면 그에 대한 핑을 가져오는 프로그램인것같다.

 

다음과 같은 방식 일 것이다.

 

코드를 보면 그와 같은 코드로 구성되어있다. -c 4 로 4번 핑을 가져오는 것이다.

 

하지만 다음과 같은 방식으로 입력 되면 마음대로 명령어를 실행할 수 있다.'

 

이런 방식으로 말이다.

 

이를 방지하기 위해서 입력받은 값을 system함수를 사용하는것이 아니라 제공하는 함수를 사용하라고 권장하고 있다. 또는 입력받은 값을 검증하는 방식도 같이 사용되어야 한다.