Command Injection
-
커맨드 인젝션 (Command Injection) 예제보안(Security)/Injection 2018. 9. 10. 09:44
※ 크롬, 오페라 등 브라우저는 인터넷 익스플로러와 비교해 구현 방법에 차이가 있다. 같은 html 문서를 작성해도 브라우저에 따라 결과가 다를 수 있다는 말이다. 보안 포스팅을 위해 문제 상황을 발생시키기에 인터넷 익스플로러가 적합해 보안 포스팅에서는 항상 인터넷 익스플로러를 실습 브라우저로 사용한다. 이번 예제는 수강중인 교육 강사님이 주신 예제를 통해 확인했다. SQL 인젝션과 마찬가지로 명령어 또한 임의로 삽입할 수 있다. * 커맨드 인젝션은 시스템 명령어를 호출하는 어플리케이션의 인자값을 조작하여 의도치 않은 명령어를 수행하도록 유도하는 기법이다. 파로스(Paros)를 켜 프록시 서버를 통해 Request, Response 정보를 가공해보았다.파로스를 켜 Trap 탭에서 Trap request에..