728x90
반응형
SMALL
OS Injection
OS Injection은 웹 보안 취약점의 한 종류로, 공격자가 웹 애플리케이션을 실행하는 서버에서
임의의 운영체제(OS) 명령을 실행할 수 있게 해주는 것이다.
OS Injection 공격은 웹 애플리케이션 코드가 운영체제 호출을 포함하고 사용자 입력이
호출에 사용될 때 가능하다.
OS Injection 공격을 통해 공격자는 애플리케이션과 그 데이터를 완전히 손상시킬 수 있다.
OS Injection의 예제
예를들어 다음과 같은 코드가 있다고 가정해보자.
이 코드는 사용자가 입력한 디렉토리 이름에 해당하는 파일들을 나열하는 명령("ls")을 실행한다.
하지만 만약 사용자가 다음과 같은 값을 입력한다면 어떻게 될까?
이 경우, 운영체제 명령은 다음과 같이 되어버린다.
여기서 세미콜론(;)은 한 줄에 여러 개의 명려 ㅇ을 구분하는 메타문자이다.
따라서 이 명령은 먼저 "ls"를 실행하고, 그 다음에 "rm -rf /"를 실행하게 된다.
이 명령은 서버의 모든 파일과 디렉토리를 삭제하는 매우 위험한 명령이다.
OS Injection 대응방안
1. 사용자 입력을 운영체제 명령에 직접 전달하지 않고, 안전한 API나 라이브러리를 사용한다.
2. 사용자 입력을 필터링하거나 검증하여 위험한 문자열이나 메타문자를 제거한다.
3. 운영체제 명령의 실행 권한을 최소화하고, 필요한 경우에만 허용한다.
728x90
반응형
LIST
'웹 보안 > 이론' 카테고리의 다른 글
| [Web] Linux WIldCard란 무엇인가? (0) | 2023.03.18 |
|---|
