보안 발자국
[SK shieldus Rookies 16기] 클라우드 기반 스마트 융합보안 과정 클라우드 기반 취약점 진단 및 대응 실무 #06 Command Injection = 운영체제 명령어 삽입 애플리케이션에 운영체제 명령어(=쉘 명령어)를 실행하는 기능이 존재하는 경우, 외부 입력값을 검증, 제한하지 않고 운영체제 명령어나 운영체제 명령어의 일부로 사용하는 경우 발생한다. ➞ 시스템 제어권를 탈취하여 해당 시스템을 공격자 마음대로 제어하게 된다. 외부 입력값을 검증하지 않고 사용 추가 명령어 실행에 사용되는 &, |, ; 등의 문자열 포함 여부를 확인하지 않고 사용 외부 입력값을 제한하지 않고 사용 내부 로직에서 사용할 수 있는 명령어 또는 명령어의 파라미터 값을 미리 정의하고 정의된 범위 내에서 사용되도록 ..
