标题 简介 类型 公开时间
关联规则 关联知识 关联工具 关联文档 关联抓包
参考1(官网)
参考2
参考3
详情
[SAFE-ID: JIWO-2024-3361]   作者: 影 发表于: [2023-11-10]

本文共 [194] 位读者顶过

1 概要

  Web 应用开发使用的编程语言中大多都提供了通过 Shell 调用 OS 命令的功能,而如果调用 Shell 功能的方法不当,就可能导致意料之外的 OS 命令被执行。这被称为 OS 命令注入漏洞。Shell 是用来启动程序的命令行界面,比如 Windows 的 cmd.exe 和 Unix 的sh、bash 等。OS 命令注入漏洞就是对 Shell 功能的恶意利用。一旦 Web 应用中存在 OS 命令注入漏洞,外界的攻击者就能够使用各种各样的方式来发动攻击,危险性极高。

2 攻击流程

 (1) 从外部下载专门用来攻击的软件

 (2)对下载的软件授予执行权限

 (3) 从内部攻击 OS 漏洞以取得管理员权限(Local Exploit)

 (4)攻击者在 Web 服务器上为所欲为

3 攻击者能够在 Web 服务器上进行的恶意行为

 (1)浏览、篡改或删除 Web 服务器内的文件

 (2)对外发送邮件

 (3)攻击其他服务器(称为垫脚石)

可见 OS 命令注入漏洞的危害极大,因此在开发过程中一定要避免该漏洞的产生。

[出自:jiwo.org]

评论

暂无
发表评论
 返回顶部 
热度(194)
 关注微信