风险
对一些函数的参数没有进行严格的过滤,利用函数中的参数,将恶意的命令拼接到正常的命令当中,使之返回一些敏感信息。
命令连接符
command1 && command2 先执行command1后执行command2
command1 | command2 只执行command2
command1 & command2 先执行command2后执行command1
以上三种连接符在windows和linux环境下都支持
low
查看代码,可对操作系统直接进行ping,没有对输入的数据作出任何过滤,非常危险。
medium
查看代码,服务器端对ip参数做了一定过滤,即把”&&” 、”;” 删除,本质上采用的是黑名单机制,因此依旧存在安全问题。
使用”&”符号,地址连接执行语句直接显示出当前用户