操作系统命令注入漏洞检测及加固

发布时间:2024-12-25 15:59

定期更新操作系统能修复安全漏洞 #生活常识# #电脑#

操作系统命令注入漏洞检测及加固

最新推荐文章于 2024-07-03 23:51:20 发布

BAIXUAN9527 于 2020-02-26 11:31:57 发布

版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

操作系统命令注入漏洞检测及加固

1.DVWA之命令注入漏洞

注入 sql注入 命令注入 提供注入的接口 - url参数
Sql 后台程序,执行我们构造的sql语句 后台执行 返回结果
Sql是命令注入的一种,针对数据库
命令注入,通过命令接口,植入系统命令
Ping的是服务器上的自己
Low 127.0.0.1&&cat /etc/passwd

命令注入

简介:

命令注入是一种攻击,其目标是通过易受攻击的应用程序在主机操作系统上执行任意命令。当应用程序将不安全的用户提供的数据(表单、Cookie、HTTP表头等)传递给系统shell时,可能会产生命令注入漏洞。在进行攻击时,攻击者提供的操作系统命令通常以易受攻击的应用程序的权限执行。

产生原因:

web服务器没有对用户提交的参数进行有效的检测过滤
操作系统允许一条语句在使用连接符和管道符后执行多条命令
Low级别
登陆DVWA平台,选择Low级别然后进入Command Injection模块。
通过页面我们可以看出这是让你输入一个IP地址然后对其进行Ping测试,因此我们先只输入一个地址观察一下。

这里我们可以看到在下方返回了对127.0.0.1进行Ping检测的内容,因此我们可以猜测这里有一个可以执行系统命令的函数,则这里可能存在命令注入漏洞,且执行的命令为Ping 输入的内容。

然后我们进行测试,我们利用windows命令的连接符&&进行测试。这里我们输入127.0.0.1&&dir

可以看见这里不仅仅返回了127.

网址:操作系统命令注入漏洞检测及加固 https://www.yuejiaxmz.com/news/view/563971

相关内容

Commix:自动化命令注入漏洞检测与利用工具
智能家居安全漏洞的检测与防护策略
智能家居系统的安全漏洞及防护措施
Linux系统内存清理神器:Purge命令详解 – Linux命令大全(手册)
Linux操作系统安全分析与防护
【第19章】操作系统安全保护(信息安全工程师)
[黑客技术]ASP漏洞+SQL注入的入侵方法
SqlMap自动化SQL注入测试工具简绍
Linux系统压力测试工具(命令行工具)
操作系统安全防护

随便看看