Command Injection OWASP

Aus Xinux Wiki
Version vom 1. Februar 2024, 13:46 Uhr von Thomas.will (Diskussion | Beiträge) (Die Seite wurde neu angelegt: „ *Schwachstelle die es einem Angreifer erlaubt, Systemkommandos auf dem Server auszuführen. =Voraussetzung= * Security level: 0 =Beispiel: Ausgabe Verzeic…“)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)
Zur Navigation springen Zur Suche springen


  • Schwachstelle die es einem Angreifer erlaubt, Systemkommandos auf dem Server auszuführen.

Voraussetzung

  • Security level: 0

Beispiel: Ausgabe Verzeichnislisting

  • Aufruf der DNS Lookup Maske
  • OWASP 2017 -> A1 Injection (Other) -> Application Log Injection -> DNS Lookup
  • Eingabe im Feld für die IP / den Hostnamen
www.xinux.de; ls -l


Mutillidae-4.png

  • Ausgabe:

Mutillidae-5.png

Weitere Interessante Informationen

  • Benutzer, unter dem die Webanwendung läuft (whoami)
  • Informationen zu prozessen (ps -ef)
  • Ausgabe der Systembenutzer (cat /etc/passwd)

Gegenmaßnahmen

  • Vermeiden des Ausführens von Systemkommandos.
  • Falls unvermeidbar, Validieren der Benutzeingaben.
  • Benutzereingaben niemals ungeprüft weiterverwenden.
Abgerufen von „http://wiki.ixheim.de/index.php?title=Command_Injection_OWASP&oldid=51446