iT邦幫忙

2024 iThome 鐵人賽

DAY 4
0
Security

WEB仔也要懂資安嗎系列 第 4

4/Command Injection

  • 分享至 

  • xImage
  •  

注入式攻擊除了SQL Injection比較常見之外,還有許多透過其他方式達成的Injection,
Command Injection就是其中之一,
常見的範例是一個網頁提供某項查詢功能,例如domain查詢,
客戶只需要在網頁上輸入要查詢的domain,就可以看到這個domain的ip資訊,
返回的資訊其實是在server端直接透過shell script下查詢查出來的,
也就是說,同樣的,若網頁沒做好輸入檢核,客戶端就有可能可以直接對Server下指令,盜取server的各項資訊、並且藉由這台被控制的server當作跳板再跳到其他server上。

跟SQL Injection相比,Command Injection少見很多,畢竟很少會有網頁功能會需要用到shell script來達成。


上一篇
3/SQL Injection
下一篇
5/Code Injection
系列文
WEB仔也要懂資安嗎30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言