운영체제 명령 실행 (OC)
- 웹 어플리 케이션에서 system(), exec()와 같은 시스템 명령어를 실행 시킬수 있는 함수를 제공 합니다.사용자 입력값에 대한 필터링이 잘 이루어 지지 않았을때 시스템 명령어 호출로 인한 백도어 설치 및 관리자 권한 탈취로 큰 영향을 미칠수 있는 취약점이다.
판단기준
양호 : 운영체제 명령어 입력 검증
취약 : 운영체제 명령어 실행
운영체제 명령 실행대응방안
- 직접적 호출 불가능
- 특수문자 필터링
- 시큐어 코딩
'web' 카테고리의 다른 글
| SSI injection (SS) (0) | 2021.09.20 |
|---|---|
| SQL injection (SI) (0) | 2021.09.19 |
| LDAP 인젝션 (LI) (0) | 2021.09.17 |
| 포맷 스트링 (FS) (0) | 2021.09.16 |
| 버퍼 오버플로우 (BO) (0) | 2021.09.15 |