Command Injection: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
| Zeile 1: | Zeile 1: | ||
*Schwachstelle die es einem Angreifer erlaubt, Systemkommandos auf dem Server auszuführen. | *Schwachstelle die es einem Angreifer erlaubt, Systemkommandos auf dem Server auszuführen. | ||
| + | =Voraussetzung= | ||
| + | * Security level: 0 | ||
=Beispiel: Ausgabe Verzeichnislisting= | =Beispiel: Ausgabe Verzeichnislisting= | ||
Version vom 16. Juni 2021, 07:45 Uhr
- Schwachstelle die es einem Angreifer erlaubt, Systemkommandos auf dem Server auszuführen.
Voraussetzung
- Security level: 0
Beispiel: Ausgabe Verzeichnislisting
- Aufruf der DNS Lookup Maske
- OWASP 2017 -> A1 Injection (Other) -> Application Log Injection -> DNS Lookup
- Eingabe im Feld für die IP / den Hostnamen
www.xinux.de; ls -l
- Ausgabe:
- Weitere Interessante Möglichkeiten:
- Ausgabe von Netzwerkinformationen
- Ausgabe der Systembenutzer (/etc/passwd)
- Löschen von Daten (rm - abhängig von den Rechten des benutzers, unter dem die Webanwendung läuft.)
- ...