[주요정보통신기반시설] 4. 운영체제 명령 실행 - 이론편
2023. 9. 6.
이번에 공부할 취약점은 운영체제 명령 실행입니다. 이 부분에 대해서는 예전에 비박스에서 해봤던 기억이 있었지만, 실제로는 잘 보지 못했습니다. 이번 계기에 정확히 공부해서 점검에 도움이 되어야 겠다고 생각하였습니다. 해당 취약점은 웹에서 시스템 명령어를 삽입하였을 때 명령어가 실행되는지 여부로 점검할 수 있습니다. 입력폼, url 파라미터, 쿠키, HTTP 헤더 등에서 명령어를 삽입하여 실행여부를 확인할 수 있습니다. 주로 웹 어플리케이션에서 system()함수나 exec()함수같은 시스템 명령어를 실행시킬 수 있는 함수를 제공할때 해당 취약점이 발생합니다. 예전 실습에 따르면 서버에 IP주소의 응답을 확인하기 위한 입력폼에 리눅스 다중명령어를 포함해서 점검해보는 방식을 사용하였습니다. 리눅스 다중명령어..