iT邦幫忙

2023 iThome 鐵人賽
DAY 13
0
Security

從 Moblie Development 主題被損友洗腦鬼轉 Security 的我真的可以完賽嗎?系列 第 13

[Day 13]OS 命令注入攻擊

15th鐵人賽
229 瀏覽

  • 分享至 

  • xImage
    •  

就是向你的網站注入系統命令,原因通常是不當地處理使用者的輸入,然後在後端不加區分地直接執行它,這種情況下攻擊者可以使用這種漏洞來執行各種操作,例如讀取或修改數據、操控系統行為或發起攻擊等。

例如,一個網站允許使用者進行PING測試。他們輸入一個IP地址或域名,然後應用程序在後台運行PING命令:

import os
user_input = input("Enter a domain to ping: ")
os.system(f"ping {user_input}")

普通的使用者可能只輸入 exmple.com。但是,一個駭客可以輸入 exmple.com; cat /etc/passwd (先PING exmple.com,然後顯示所有使用者賬號)

Lab time

題目說要呼叫 whoami
https://ithelp.ithome.com.tw/upload/images/20230928/20162491VxKR0gSJze.png

我們可以在這裡加上

productId=1&storeId=1

變成:

productId=1+%26+whoami+%23&storeId=1

發送
https://ithelp.ithome.com.tw/upload/images/20230928/20162491f3Ls7GGPuD.png
成功
https://ithelp.ithome.com.tw/upload/images/20230928/201624914wo4XB4PQ3.png


上一篇
[Day 12]CSRF(跨站請求偽造)攻擊 - SameSite
下一篇
[Day 14]路徑遍歷攻擊
系列文
從 Moblie Development 主題被損友洗腦鬼轉 Security 的我真的可以完賽嗎?30
  1. 26
    [Day 26]更多的 CSRF 漏洞
  2. 27
    [Day 27]DOM-based 漏洞
  3. 28
    [Day 28]資訊洩漏
  4. 29
    [Day 29]SSRF(服務器端請求偽造)攻擊
  5. 30
    [Day 30]商業邏輯漏洞
完整目錄
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言
iThome鐵人賽
參賽組數
1064
團體組數
40
累計文章數
22201
完賽人數
602
iT+看影片追技術 看影片追技術 看更多
熱門tag 看更多
15th鐵人賽 16th鐵人賽 13th鐵人賽 14th鐵人賽 12th鐵人賽 11th鐵人賽 鐵人賽 2019鐵人賽 javascript 2018鐵人賽 python 2017鐵人賽 windows php c# windows server linux css react vue.js
熱門問題
熱門回答
熱門文章
IT邦幫忙