반응형 코딩1 개발 보안 시리즈 [Command injection PHP 공격/대응] Command injection 이란? 웹 어플리케이션에서 system(), exec()와 같은 시스템 명령어를 실행시킬 수있는 함수를 제공하며 사용자 입력 값에 대한 필터링이 제대로 이루지지 않을 경우 공격자가 운영체제 시스템 명령어를 호출하여 백도어 설치나 관리자 권한 탈취 등 시스템 보안에 심각한 영향을 줄수 있습니다. Command injection 이해 하려면 CLI에 대한 이해가 필요합니다. 왜냐하면 웹 사이트가 사용하는 웹서버의 운영체제가 리눅스인 경우 input box란에 bash 명령어가 동작하기 때문입니다. 취약한 php 코딩 예시 입니다 . 소스 코드를 관찰하거나 확인함으로써 ping.php 스크립트가 시스템 명령을 호출하는지 확인할 수도 있습니다. 이로 인해이 스크립트에 명령 주입 .. 2021. 5. 4. 이전 1 다음 반응형