Command Injection: Unterschied zwischen den Versionen

Aus xinux.net
Zur Navigation springen Zur Suche springen
 
(2 dazwischenliegende Versionen von 2 Benutzern werden nicht angezeigt)
Zeile 1: Zeile 1:
*Schwachstelle die es einem Angreifer erlaubt, Systemkommandos auf dem Server auszuführen.
+
*[[Comand-Execution-Exploits]]
 
+
*[[Command Injection Prinzip]]
=Voraussetzung=
+
*[[Command Injection Proof of Concept]]
* Security level: 0
+
*[[Command Injection OWASP]]
 
 
=Beispiel: Ausgabe Verzeichnislisting=
 
*Aufruf der DNS Lookup Maske
 
*OWASP 2017 -> A1 Injection (Other) -> Application Log Injection -> DNS Lookup
 
*Eingabe im Feld für die IP / den Hostnamen
 
www.xinux.de; ls -l
 
 
 
 
 
[[Datei:Mutillidae-4.png]]
 
*Ausgabe:
 
[[Datei:Mutillidae-5.png]]
 
 
 
=Weitere Interessante Informationen=
 
*Benutzer, unter dem die Webanwendung läuft (whoami)
 
*Informationen zu prozessen (ps -ef)
 
*Ausgabe der Systembenutzer (cat /etc/passwd)
 
 
 
=Gegenmassnahmen=
 
*Vermeiden des Ausführens von Systemkommandos.
 
*Falls unvermeidbar, Validieren der Benutzeingaben.
 
*Benutzereingaben niemals ungeprüft weiterverwenden.
 

Aktuelle Version vom 1. Februar 2024, 13:47 Uhr

Abgerufen von „https://xinux.net/index.php?title=Command_Injection&oldid=51447