Web Hacking Advanced
[dreamhack] command-injection-1
개념정리Command injection에 대해 알아보자. ○ Command Injection인젝션은 악의적인 데이터를 프로그램에 입력하여 시스템 명령어, 코드, 데이터베이스 쿼리 등이 실행되게 하는 기법을 말한다. 이 중, 시스템 명령어를 실행하게 하는 취약점을 Command Injection이라고 부른다. Command Injection은 사용자의 입력값을 제대로 검증하지 않는 경우에 발생한다. 특히, 리눅스에서는 여러 명령을 연속으로 실행할 수 있는 메타문자들을 제공하기 때문에 공격자는 Command Injection을 수행하여 본인이 원하는 명령을 실행시킬 수 있다. ○ 메타 문자 종류명령어 치환` `` ` 안에 포함되는 명령어를 실행한 결과로 치환한다.$()$()안에 들어있는 명령어를 실행한 결과..
