3.7 命令注入攻击

最新推荐文章于 2024-08-01 08:39:32 发布
最新推荐文章于 2024-08-01 08:39:32 发布
阅读量1.3k 收藏 1
点赞数
分类专栏: 网络安全 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_56534254/article/details/127283924
版权

1、命令注入攻击

 

  • 概念:指由于开发人员缺少安全意识,在开发Web应用时未对用户提交的数据进行合规性检查,导致攻击者能够将命令作为普通用户数据提交给服务器执行

  • 命令攻击形式有以下三种:

  • 系统命令注入攻击:利用Web应用程序的漏洞,绕过了Web应用本身,直接与Web应用宿主服务器的命令执行接口交互

    • 关键

      • 调用系统命令接口

      • 输入参数可控

  • 命令注入是调用操作系统命令Shell执行命令

    • ls -l;rm -rf

  • 远程代码执行是调用服务器网站脚本解释器执行脚本代码

    • <?php phpinfo()?>

  • 系统命令执行函数

    • 在代码审计时要特别注意这些函数

  • 安全设置

    • 限制用户输入的长度,仅满足业务需要的最低要求

  • 攻击者对策

    • 命令组装

    • 命令反转

    • 命令续行    同样,在代码审计时要特别注意

2、外部实体注入攻击(XXE攻击)

  • 概念:当Web应用程序解析XML输入时,如果没有禁止外部实体的使用,导致服务器可加载恶意外部文件和代码,就会产生外部实体注入漏洞,被攻击者利用发起网络攻击

  • 实体概念:实体是对数据的引用;根据实体种类的不同,XML解析器将使用实体的替代文本或者外部文档的内容来替代实体引用,由此引入了内部实体和外部实体的概念

    • 内部实体  也称为命名实体,在文档类型定义DTD或內部子集中声明

    • 在xml文档解析过程中,实体引用将由它的替代值来表示

    • 外部实体  调用外部文件所申明的实体,若实体有任何的修改,则直接在该文档中更新,无需修改引用处的脚本,使用方便

  • 代码示例

      • <!ENTITY xxe SYSTEM "expect://id">]>

      • 第三行定义了一个通用实体xxe,所示含义为红色代码expect://id,expect是php扩展协议,用于执行系统命令,这句话的含义是查看系统当前用户的标识

      • 第十行通过&xxe;的方式引用了通用实体,将这段xml提交服务器后,服务器就会执行系统命令id,并返回当前用户的身份标识信息

3、反序列化漏洞

  • 序列化:把对象转换成字节流,便于保存在内存、文件、数据库中,即将对象的状态信息转换为可以存储或传输的形式,将其当前状态写入到临时或持久性存储区

    • 二进制序列化能保持类型的真实度

  • 反序列化:即序列化的逆过程,将字节流还原成对象

  • 反序列化漏洞原理

  • 漏洞关键

    • 重写readObject()方法时使用了不安全的系统命令执行函数

    • 未限制用户提交参数

  • 防御

    • 应用程序没有严格审查用户提交数据从而导致命令执行参数失控

    • 命令执行函数的不正确使用

      • 可以从过滤用户输入和限制命令执行函数的使用来降低命令注入攻击成功的概率

    • 系统命令注入攻击:采用验证用户数据、编码用户数据、预设命令白名单和替换安全执行函数等方法予以规避

    • 外部实体注入漏洞实现命令注入攻击:禁用外部实体、过滤和验证用户提交的xml数据、禁止xml中包含任何自声明的文档类型定义

    • 利用反序列化漏洞实现命令注入攻击:关闭RMI服务的公网端口、设置Serial Killer补丁、禁止JVM执行外部命令、在不影响业务的情况下删除InvokerTransformer.class文件、定期升级weblogic、apache、jboss。

耿小嘉
关注
专栏目录
Web攻防系列教程之浅析PHP命令注入攻击
05-27
Web攻防系列教程之浅析PHP命令注入攻击
PHP漏洞全解(二)-命令注入攻击
老鹰之歌的学习笔记
09-21 2330
本文主要介绍针对PHP网站常见的攻击方式中的命令攻击。Command Injection,即命令注入攻击,是指这样一种攻击手段,黑客通过把HTML代码输入一个输入机制(例如缺乏有效验证限制的表格域)来改变网页的动态生成的内容。使用系统命令是一项危险的操作,尤其在你试图使用远程数据来构造要执行的命令时更是如此。如果使用了被污染数据,命令注入漏洞就产生了。 命令注入攻击
网络安全领域五大注入攻击类型介绍(非常详细)零基础入门到精通,收藏这一篇就够了
最新发布
leah126的博客
08-01 1162
SQL注入是最常见的注入攻击类型之一,攻击者通过在输入字段中插入恶意的SQL代码来改变原本的SQL逻辑或执行额外的SQL语句,来操控数据库执行未授权的操作(如拖库、获取管理员信息、获取 WebShell权限等)。XSS攻击允许攻击者在用户的浏览器中执行恶意脚本,通常用于窃取用户的会话信息、Cookies等。应用程序包含反射式输入类型时容易出现跨站脚本攻击。比如弹出一个假的窗口骗取用户信息。命令注入攻击允许攻击者在服务器上执行任意命令,通常通过在输入字段中插入系统命令来实现。
PHP漏洞全解(二)-命令注入***
weixin_33774615的博客
02-13 148
命令注入*** PHP中可以使用下列5个函数来执行外部的应用程序或函数 system、exec、passthru、shell_exec、``(与shell_exec功能相同) 函数原型 string system(string command, int &return_var) command 要执行的命令 r...
命令注入攻击
2301_78479126的博客
07-03 328
为了防止这类攻击,开发者应对用户输入的数据进行严格的验证和过滤,使用安全的API,并对敏感操作进行权限控制。命令注入攻击是一种针对应用程序的攻击方式,通过在输入数据中插入恶意的命令行代码,使应用程序执行非预期的操作。当应用程序在接受用户输入后,将其直接拼接到系统命令中执行,而没有进行适当的输入验证和清理时,就可能发生命令注入攻击。例如,在一个文件上传功能中,用户输入的文件名可能被用于构建系统命令,如果未进行有效过滤,攻击者可以注入恶意命令。2. 控制服务器,执行任意系统命令,获取管理员权限。
命令注入攻击及其防范措施
常备不懈
05-29 655
命令注入攻击是一种通过有漏洞的应用程序在主机操作系统上执行任意命令攻击。 当应用程序将不安全的用户输入数据(如表单、cookie、HTTP 标头等)传递给系统命令执行时,可能会发生命令注入攻击
AppScan9.0.3.7.rar
05-19
1. 自动化扫描:通过智能扫描技术,自动检测OWASP Top Ten及其他常见安全威胁,如SQL注入、跨站脚本(XSS)、命令注入等。 2. 深度分析:深入分析应用程序代码,识别潜在的逻辑错误和配置问题,以提高应用的安全性。...
基于 python 3.7 + django 2.2.3 实现的资产管理系统.zip
06-01
Django 2.2.3版本包含了一些安全更新和性能优化,例如支持长期支持(LTS),增强了对CSRF(跨站请求伪造)和XSS(跨站脚本攻击)防护,以及对SQL注入的防范。 【Django 资产管理系统实现】 基于Django的资产管理...
最新IBM AppScan 9.0.3.7 ifix005 update
03-15
AppScan依赖于一套详细的规则库来识别各种安全漏洞,如SQL注入、跨站脚本(XSS)、命令注入等。规则库的更新意味着它现在能够检测到更多的最新威胁模式和攻击向量,提供更全面的安全覆盖。这些新规则可能是基于最近...
struts-2.2.3.7z
11-14
然而,值得注意的是,Struts 2的后续版本中出现了一些高知名度的安全漏洞,如著名的CVE-2017-5638“Struts Shiro远程命令执行漏洞”,这提醒我们即使使用开源框架,也需要保持及时更新,确保系统的安全性。...
Web应用安全攻防
程序员光剑
08-03 1177
随着互联网的普及和应用的日益扩张,网络应用越来越成为各行各业中普遍存在的现象。作为互联网世界的重要组成部分,网络安全在对抗各种攻击、防御方面发挥了越来越重要的作用。而对于网络应用的安全管理和维护,更是成为各类安全人员的必备技能。在互联网应用安全领域,许多著名的黑客组织、安全公司都提供了大量的学习资料、工具和课程。然而,为了更好地掌握这些知识、工具和方法,我们应该更加关注其背后的原理、算法和技术,为我们的工作提供一个系统的、全面的和有效的解决方案。
注入攻击命令大全
omygege
04-16 992
转帖:http://bbs.pediy.com/showthread.php?t=110793 1、用^转义字符来写ASP(一句话木马)文件的方法:?http://192.168.1.5/display.asp?keyno=1881;execmaster.dbo.xp_cmdshell'echo^&lt;scriptlanguage=VBScriptrunat=server^&gt;exec...
Command Injection命令注入攻击
lalalalala~~
10-21 931
实验目的与要求 1.了解命令注入攻击攻击带来的危险性。 2.掌握命令注入攻击攻击的原理与方法 3.掌握防范攻击的方法 预备知识 在PHP中您可以使用下列5个函数来执行外部的应用程序或函数。 (1) system:执行一个外部的应用程序并显示输出的结果。 (2) exec:执行一个外部的应用程序。 (3) passthru:执行一个UNIX系统命令并显示原始的输出。 (4) shell_exec:执行shell命令并返回输出的字符串。 (5) "``"运算符:与shell_exec函数
1-Web安全——命令执行注入攻击
网络安全
09-06 7547
1. 系统命令执行 通常在程序开发过程中,应用程序需要调用一些外部程序时会用到一些系统命令相关函数。 例如在linux系统中,shell解释器就是用户和系统进行交互的一个接口,对用户的输入进行解析并在系统中执行。而shell脚本语言就是linux系统由各种shell命令组成的程序,具有其他普通编程的很多特点。 2. Web命令执行 常用的ASP,PHP,JSP等web脚本解释语言支持动态执行在运行时生成的代码这种特点,可以帮助开发者根据各种数据和条件动态修改程序代码,这对于开发人员来说是有利的.
注入攻击
凉茶铺的博客
07-27 5650
注入攻击是Web安全领域中一种最为常见的攻击方式。XSS本质上也是一种针对HTML的注入攻击注入攻击的本质,是把用户输入的数据当做代码执行。这里有两个关键条件,第一个是用户能够控制输入;第二个是原本程序要执行的代码,拼接了用户输入的数据。解决注入攻击的核心思想“数据与代码分离”原则。...
命令注入(Command Injection)
Tangyoo的博客
07-03 1651
命令注入攻击是指黑客通过把恶意代码输入一个输入机制(例如缺乏有效验证限制的表格域)来改变网页动态生成的内容的一种攻击手段。它允许攻击者执行系统命令,从而控制受影响的系统或服务器。命令注入攻击作为一种严重的网络安全威胁,要求我们在开发、部署和维护Web应用程序时始终保持高度的警惕性。通过实施全面的防御策略,包括加强输入验证、使用安全的函数和机制、实施白名单验证、遵循最小权限原则、进行安全配置与更新、实时监控与响应以及加强开发者教育与培训等,我们可以显著降低命令注入攻击的风险。
渗透测试——七、网站漏洞——命令注入和跨站请求伪造(CSRF)
钟言的博客
12-07 9639
本篇为渗透测试的第七篇,网络漏洞之命令注入和跨站请求伪造(CSRF),详细内容包含了命令注入 跨站请求伪造(CSRF)命令注入页面之注人测试四、CSRF页面之请求伪造测试等等
WEB安全基础入门—操作系统命令注入(shell 注入)_文件参数 shell 命令注入
2401_84186067的博客
04-30 741
攻击者可在服务器端执行任意系统(OS)命令,获取敏感数据。通常攻击者会尝试利用系统内部的信任关系,将攻击转移到系统内的其他系统,获取更大权限。
最详细的SQL注入相关的命令整理
古剑楠的专栏
09-23 1011
最详细的SQL注入相关的命令整理 (转)   [ 日期: 2006-09-17 12:32 | 作者: d99 | 来自: 转 | | ]   1、   用^转义字符来写ASP(一句话木马)文件的方法:?   http://192.168.1
conda3.7命令
08-24
其中,创建一个名为my_pytorch的Python 3.7环境的命令是: conda create --name my_pytorch python=3.7 或者 conda create -n my_pytorch python=3.7 您可以使用命令conda info --env来查看已创建的虚拟环境。 需要...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值