커맨드인젝션 공격
: 웹을 통해 시스템명령어(커맨드)를 실행하는 공격(명령어를 삽입)
- 웹 내부에서 시스템 명령어를 실행하는 경우, 사용자가 입력값을 제대로 검사하지 않으면 해커 마음대로 시스템 명령어를 실행
사용자가 ip주소를 입력하면 서버에서 ping명령어(응답여부)를 실행해 ping결과를 알려주는 시스템
-> 해커: IP;(시스템명령어 추가)
cat /etc/passwd : 리눅스에서 사용자 목록 확인 -> ping명령어와 cat명령어까지 실행되어 해커에게 해당 내용이 넘어가게 됨
'공부일지 > 정보보안' 카테고리의 다른 글
| 브루트 포스 공격 (0) | 2020.09.29 |
|---|---|
| dvwa (0) | 2020.09.29 |
| xampp설치 & dvwa설치 및 설정 (0) | 2020.09.22 |
| virtual box & kali linux (0) | 2020.09.22 |