운영체제 명령어 삽입

운영체제 명령어 삽입

 

운영체제 명령어 실행 부분이 존재하는 경우,

외부 입력값을 검증, 제한하지 않고 운영체제 명령어 또는 명령어 일부로 사용하는 경우에 발생

→ 의도하지 않은 명령어 실행

→ 의도하지 않은 추가 명령어 실행 

⇒ 서버 쉘을 획득 = 서버의 제어권을 탈취

 

[방어기법]

1. 운영체제 명령어 실행이 꼭 필요한지를 검토 → 대체 기능을 사용
2. 사용할 명령어를 미리 정의하고 정의된 범위 내에서 사용될 수 있도록 제한한다. = 화이트 리스트 방식의 입력값 제한
3. 추가 명령어 실행에 사용되는 &, |, ; 문자열을 필터링한다.