728x90
반응형
https://com24everyday.tistory.com/32?category=1114111
커맨드인젝션 공격
안녕하세요. 부산 공수니입니다. 오늘은 '커맨드 인젝션'에 대해 알아보겠습니다. 바로 Go. 컨맨드 인젝션은 명령어를 삽입한다는 뜻으로 웹을 통해 시스템 명령어를 실행하는 공격입니다. 만약 웹 내부에서 시스..
com24everyday.tistory.com
커맨드 인젝션 공격 대응을 알아보겠습니다! 커맨드 인젝션을 잘 모르시는 분은 위 포스팅으로 갔다와주세요ㅎㅎ
커맨드 인젝션에 가장 좋은 대응 방안은 입력 값이 적절한 값인지 조사하는 것 입니다. DVWA 에서 했듯이 IP 주소를 입력받는 거라면 입력값이 실제로 IP 주소인지 검증하는 과정이 들어가면 좋습니다.
DVWA 의 'impossible' 레벨의 소스코드를 보겠습니다.
보면
1. 들어온 입력 값은 '.'으로 구분해주고 있습니다.
2. 숫자가 들오 옷 것인지 확인하고 있습니다.
명령어를 실행할 수 있는 특수문자를 확인까지 해주면 커맨드 인젝션을 더욱 효과적으로 막을 수 있습니다 .
728x90
반응형
'해킹 > 웹해킹' 카테고리의 다른 글
| CSRF 공격대응 (0) | 2020.05.03 |
|---|---|
| CSRF공격 (0) | 2020.05.03 |
| 커맨드인젝션 공격 (0) | 2020.05.02 |
| 브루트포스 공격대응 (0) | 2020.05.01 |
| 브루트포스(Bruteforce) (0) | 2020.05.01 |
