作業系統命令插入 (定時攻擊)

critical Web App Scanning Plugin ID 98124

語言:

概要

作業系統命令插入 (定時攻擊)

說明

若要從 Web 應用程式內執行特定動作，偶爾需要執行作業系統命令，並讓 Web 應用程式擷取這些命令的輸出並將其傳回給用戶端。

當使用者提供的輸入未經適當清理即插入其中一個命令中，然後由伺服器執行時，就會發生 OS 命令插入。

網路攻擊者會濫用此弱點，在伺服器上執行自己的任意命令。這可以包括從簡單的 `ping` 命令到對應內部網路，再到取得伺服器的完整控制權。

透過插入需要特定時間執行的 OS 命令，掃描程式能夠偵測到時間型 OS 命令插入。這表示未進行適當的輸入清理。

解決方案

建議永遠不要使用未受信任的資料來形成要由作業系統執行的命令。
為驗證資料，應用程式應確保提供的值僅包含執行必要動作所需的字元。
例如，在表單欄位需要 IP 位址的情況下，只應接受數字和句點。此外，所有控制項運算子 (`&`、`&&`、`|`、`||`、`$`、`\`、`#`) 都應明確拒絕，且絕不接受伺服器作為有效輸入。