Command Injection: Unterschied zwischen den Versionen

Aus xinux.net
Zur Navigation springen Zur Suche springen
(Der Seiteninhalt wurde durch einen anderen Text ersetzt: „*Command Injection OWASP“)
Markierung: Ersetzt
Zeile 1: Zeile 1:
*Schwachstelle die es einem Angreifer erlaubt, Systemkommandos auf dem Server auszuführen.
+
*[[Command Injection OWASP]]
 
 
=Voraussetzung=
 
* Security level: 0
 
 
 
=Beispiel: Ausgabe Verzeichnislisting=
 
*Aufruf der DNS Lookup Maske
 
*OWASP 2017 -> A1 Injection (Other) -> Application Log Injection -> DNS Lookup
 
*Eingabe im Feld für die IP / den Hostnamen
 
www.xinux.de; ls -l
 
 
 
 
 
[[Datei:Mutillidae-4.png]]
 
*Ausgabe:
 
[[Datei:Mutillidae-5.png]]
 
 
 
=Weitere Interessante Informationen=
 
*Benutzer, unter dem die Webanwendung läuft (whoami)
 
*Informationen zu prozessen (ps -ef)
 
*Ausgabe der Systembenutzer (cat /etc/passwd)
 
 
 
=Gegenmaßnahmen=
 
*Vermeiden des Ausführens von Systemkommandos.
 
*Falls unvermeidbar, Validieren der Benutzeingaben.
 
*Benutzereingaben niemals ungeprüft weiterverwenden.
 

Version vom 1. Februar 2024, 13:46 Uhr

Abgerufen von „https://xinux.net/index.php?title=Command_Injection&oldid=51445