본문 바로가기
728x90

commandinjection2

커맨드 인젝션 공격 대응 https://com24everyday.tistory.com/32?category=1114111 커맨드인젝션 공격 안녕하세요. 부산 공수니입니다. 오늘은 '커맨드 인젝션'에 대해 알아보겠습니다. 바로 Go. 컨맨드 인젝션은 명령어를 삽입한다는 뜻으로 웹을 통해 시스템 명령어를 실행하는 공격입니다. 만약 웹 내부에서 시스.. com24everyday.tistory.com 커맨드 인젝션 공격 대응을 알아보겠습니다! 커맨드 인젝션을 잘 모르시는 분은 위 포스팅으로 갔다와주세요ㅎㅎ 커맨드 인젝션에 가장 좋은 대응 방안은 입력 값이 적절한 값인지 조사하는 것 입니다. DVWA 에서 했듯이 IP 주소를 입력받는 거라면 입력값이 실제로 IP 주소인지 검증하는 과정이 들어가면 좋습니다. DVWA 의 'impossibl.. 2020. 5. 2.
커맨드인젝션 공격 안녕하세요. 부산 공수니입니다. 오늘은 '커맨드 인젝션'에 대해 알아보겠습니다. 바로 Go. 컨맨드 인젝션은 명령어를 삽입한다는 뜻으로 웹을 통해 시스템 명령어를 실행하는 공격입니다. 만약 웹 내부에서 시스템 명령어를 실행하는 경우 검사를 거치지 않는다면 해커 마음대로 시스템을 조작할 수 있게 됩니다. -커맨드 인젝션 공격 실습 *ping : IP 주소를 가진 어떤 시스템이 현재 동작하고 있는지 사용하는 명령어입니다. Security 를 'low'로 설정하고 Comman Injection 으로 갑니다. '127.0.0.1'을 입력해봅니다. 소스 코드를 확인해 보겠습니다. shell_exec : 시스템 명령어 내리는 함수 $target -> request : 웹 요청으로 부터 전달된 'ip' 값임을 알 수.. 2020. 5. 2.
728x90