커맨드 인젝션 공격

커맨드인젝션 공격

: 웹을 통해 시스템명령어(커맨드)를 실행하는 공격(명령어를 삽입)

- 웹 내부에서 시스템 명령어를 실행하는 경우, 사용자가 입력값을 제대로 검사하지 않으면 해커 마음대로 시스템 명령어를 실행

 

사용자가 ip주소를 입력하면 서버에서 ping명령어(응답여부)를 실행해 ping결과를 알려주는 시스템

-> 해커: IP;(시스템명령어 추가)

cat /etc/passwd : 리눅스에서 사용자 목록 확인 -> ping명령어와 cat명령어까지 실행되어 해커에게 해당 내용이 넘어가게 됨