command injection

누군가 울고있어요.

창문 밖에서..

귀뚜라민가?

 

그래도 자동차 경적소리보다는

좋네요..

 

---

 

유저는 사악하다고 합니다.

입력할 때 이상한 값을 넣지요.

 

명령어 삽입?

뭘까요?!

 

command_injection

(경로조작 및 자원삽입, 허가되지 않은 명령 실행)

1) 정의

 

공격자가 입력값 조작을 통해 시스템 자원에 임의로 접근하여

자원의 수정, 삭제, 정보누출, 서비스장애 등을 유발시킬 수 있는 취약점 입니다.

 

적절한 검증을 거치지 않은 사용자의 입력값에 의해 의도하지 않은

시스템 명령어가 실행되어 부적절하게 사용자 권한이 변경되거나 운영에 악영향을 줄 수 있습니다.

 

 

2) 시연

[영상1] command_injection

 

 

3) 대응방안

[1] command기능을 사용하지 않습니다.

[2] 정 써야한다면? 화이트리스트 기반으로

특정명령어를 등록해 놓습니다.

 

화이트리스트 Vs 블랙리스트

화이트리스트는

특정 시그니처를 제외한 나머지 모두를 차단합니다.

불편하죠..

 

블랙리스트는

특정 시그니처만 차단하고 나머지는 모두 허용합니다.

단, 미탐이 존재하겠죠..?

 

신용카드를 잃어버렸을때 분실신고를 하면

카드사에서는 해당 카드번호를 사용정지시킵니다.

이 경우에는 블랙리스트겠죠?

내 카드만 차단하고 나머지는 모두 결제가 되야하니 말이죠 >_<

 

 

종이를 반으로 접으면?

자국이 남습니다.

 

사람의 마음도 그러겠죠?

마음의 상처는 그 사람에게 고통이 될 수 있지요.

그러니 공격은 함부로 하지 맙시다.

 

상처를 주는 공격은 알아야합니다.(막기위해)

그러나 공격 당하고 반창고를 붙이는 것보다

대응방안을 알아두는 것이 현명하겠죠?