OS 명령 인젝션

OS 명령 인젝션 취약점의 설명, 해결 방법 및 세부 정보를 제공합니다. 대상 애플리케이션 서버에서 임의의 OS 명령 실행이 가능한 심각한 보안 취약점입니다.

설명 # 대상 애플리케이션 서버에서 임의의 OS 명령을 실행하는 것이 가능합니다. OS 명령 인젝션은 시스템 전체를 완전히 침해할 수 있는 심각한 취약점입니다. 해결 방법 # 사용자 입력은 OS 명령을 실행하는 함수에서 명령이나 명령 인수를 구성하는 데 절대 사용되어서는 안 됩니다. 여기에는 사용자가 업로드하거나 다운로드한 파일명도 포함됩니다. 애플리케이션에서 다음 사항을 수행하지 않도록 해야 합니다: 실행할 프로세스 이름에 사용자가 제공한 정보를 사용하지 않습니다. 셸 메타문자를 이스케이프하지 않는 OS 명령 실행 함수에 사용자가 제공한 정보를 사용하지 않습니다. OS 명령의 인수에 사용자가 제공한 정보를 사용하지 않습니다. 애플리케이션은 OS 명령에 전달되는 인수의 하드코딩된 집합을 가져야 합니다. 파일명이 이러한 함수에 전달되는 경우, 파일명의 해시값을 대신 사용하거나 다른 고유 식별자를 사용하는 것이 권장됩니다. 타사 명령에 대한 알려지지 않은 공격의 위험 때문에, OS 시스