Command Injection

Aus xinux.net

Version vom 16. Juni 2021, 07:49 Uhr von Tina.messmann (Diskussion | Beiträge) (→‎Beispiel: Ausgabe Verzeichnislisting)

(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)

Zur Navigation springen Zur Suche springen

Schwachstelle die es einem Angreifer erlaubt, Systemkommandos auf dem Server auszuführen.

Voraussetzung

Security level: 0

Beispiel: Ausgabe Verzeichnislisting

Aufruf der DNS Lookup Maske
OWASP 2017 -> A1 Injection (Other) -> Application Log Injection -> DNS Lookup
Eingabe im Feld für die IP / den Hostnamen

www.xinux.de; ls -l

Ausgabe:

Weitere Interessante Informationen

Benutzer, unter dem die Webanwendung läuft (whoami)
Informationen zu prozessen (ps -ef)
Ausgabe der Systembenutzer (cat /etc/passwd)

Gegenmassnahmen

Abgerufen von „https://xinux.net/index.php?title=Command_Injection&oldid=24175“