Injection 취약점은 OWASP TOP10 중 A1으로 분류되어 있는 취약점입니다. 그 중 Injection 취약점은 SQL, OS, XXE(Xml eXternal Entity), LDAP 의 취약점이 있습니다. http://testsparker.com에서 발견된 취약점 중 Operating system command injection (timing attack) 부분에 대해 분석 해보았습니다.
Operation system command injection(OS command injection)이란 사용자 입력 값을 받는 페이지에 OS 명령어가 실행되어 시스템 내 중요 정보 획득 및 중요 디렉터리 접근이 가능한 취약점 입니다. ex)shell.exec, eval, system 함수 등.. 해당 경로(http://php.testsparker.com/nslookup.php)에서 삽입된 공격패턴 및 위약점 탐지근거를 확인해보면 변수 param 에 ' && ping -n 16 loca...
![[Vulnerability] - OS command Injection 취약점 분석](https://mblogthumb-phinf.pstatic.net/MjAyMDA3MDVfMTk4/MDAxNTkzOTM1OTgwNTg5.MhHs2C3wzdadFE3Xxg-LbZXWV4DpKB9wN9ErzSNoX-wg.aTL4S5JKPnedj__pfPnXUnKo77fcTALoNmo9HYYuydkg.PNG.ster098/image.png?type=w2)
#
A1
#
Command
#
Hacking
#
Injection
#
OScommandInjection
#
취약점
