Command Injection

Aus xinux.net

Version vom 16. Juni 2021, 07:45 Uhr von Tina.messmann (Diskussion | Beiträge)

(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)

Zur Navigation springen Zur Suche springen

Schwachstelle die es einem Angreifer erlaubt, Systemkommandos auf dem Server auszuführen.

Voraussetzung

Security level: 0

Beispiel: Ausgabe Verzeichnislisting

Aufruf der DNS Lookup Maske
OWASP 2017 -> A1 Injection (Other) -> Application Log Injection -> DNS Lookup
Eingabe im Feld für die IP / den Hostnamen

www.xinux.de; ls -l

Ausgabe:

Weitere Interessante Möglichkeiten:
- Ausgabe von Netzwerkinformationen
- Ausgabe der Systembenutzer (/etc/passwd)
- Löschen von Daten (rm - abhängig von den Rechten des benutzers, unter dem die Webanwendung läuft.)
- ...

Gegenmassnahmen

Abgerufen von „https://xinux.net/index.php?title=Command_Injection&oldid=24174“