注入式攻擊除了SQL Injection比較常見之外,還有許多透過其他方式達成的Injection,
Command Injection就是其中之一,
常見的範例是一個網頁提供某項查詢功能,例如domain查詢,
客戶只需要在網頁上輸入要查詢的domain,就可以看到這個domain的ip資訊,
返回的資訊其實是在server端直接透過shell script下查詢查出來的,
也就是說,同樣的,若網頁沒做好輸入檢核,客戶端就有可能可以直接對Server下指令,盜取server的各項資訊、並且藉由這台被控制的server當作跳板再跳到其他server上。
跟SQL Injection相比,Command Injection少見很多,畢竟很少會有網頁功能會需要用到shell script來達成。
iThome鐵人賽
看影片追技術