作業系統命令插入 (定時攻擊)

critical Web App Scanning Plugin ID 98124

語系：

概要

作業系統命令插入 (定時攻擊)

說明

若要從 Web 應用程式內執行特定動作，偶爾需要執行作業系統命令，並讓 Web 應用程式擷取這些命令的輸出並將其傳回給用戶端。

當使用者提供的輸入未經適當清理即插入其中一個命令中，然後由伺服器執行時，就會發生 OS 命令插入。

網路攻擊者會濫用此弱點，在伺服器上執行自己的任意命令。這可以包括從簡單的 `ping` 命令到對應內部網路，再到取得伺服器的完整控制權。

By injecting OS commands that take a specific amount of time to execute, scanner was able to detect time based OS command injection. 這表示未進行適當的輸入清理。

解決方案

建議永遠不要使用未受信任的資料來形成要由作業系統執行的命令。
To validate data, the application should ensure that the supplied value contains only the characters that are required to perform the required action.
例如，在表單欄位需要 IP 位址的情況下，只應接受數字和句點。此外，所有控制項運算子 (`&`、`&&`、`|`、`||`、`$`、`\`、`#`) 都應明確拒絕，且絕不接受伺服器作為有效輸入。