Hasło słownika
Command injection
Podatność, w której aplikacja przekazuje dane użytkownika do powłoki systemowej tak słabo, że atakujący może dopisać własne polecenie.
Cyberbezpieczeństwokategoria
3aliasy
wstrzykiwanie poleceń OS command injection command execution injection
Opis
Command injection jest groźne, bo omija warstwę aplikacji i trafia prosto w system operacyjny. Jeśli parametr formularza, URL albo konfiguracji zostanie sklejony z komendą bez poprawnej walidacji i escapowania, napastnik może wykonać polecenia z uprawnieniami procesu. W urządzeniach sieciowych taki błąd często kończy się pobraniem payloadu i trwałą infekcją.
Przykłady
- Parametr SSID trafia do skryptu systemowego i pozwala dopisać komendę pobrania malware.
- Zamiast zwykłej wartości w polu formularza atakujący wstrzykuje separator i polecenie shellowe.