보안 이론/웹 보안
2022. 9. 16.
Command Injection - DVWA를 이용한 실습
command injection에 대해 알아보고 필터링을 우회하여 백도어로 연결하는 실습을 진행한다. Command Injection 명령어를 삽입한다는 뜻으로 웹 페이지에서의 사용자 요청이 웹 서버 시스템 명령어를 실행하는 취약점이다. 사용자 입력에 대해 적절한 검증을 하지 않으면 서버 내부의 민감한 정보가 유출될 뿐만 아니라 백도어를 연결하는 등 악의적인 행위가 가능해 위험하다. 커맨드 다중 명령 실행 리눅스 커맨드 창에서 시스템 명령을 한 줄에 두 개 이상 실행할 수 있는 방법은 여러가지가 있다. 기호 사용 예 설명 ; ping 127.0.0.1 ; ls -al 주어진 명령어를 성공, 실패 상관없이 전부 실행 | ping 127.0.0.1 | ls -al 파이프, 앞 명령어의 결과를 뒷 명령어의 입..
