OS Command Injection
설명
대상 응용 프로그램 서버에서 임의의 OS 명령을 실행할 수 있습니다. OS 명령 삽입은 전체 시스템 침해로 이어질 수 있는 심각한 취약점입니다.
조치
사용자 입력은 절대적으로 명령 또는 명령 인수를 구성하는 데 사용되어서는 안 되며, 이는 사용자 업로드 또는 다운로드에 의해 제공된 파일 이름을 포함합니다.
응용 프로그램은 다음을 하면 안 됩니다:
- 프로세스 이름에 사용자가 제공한 정보를 사용하여 실행합니다.
- 쉘 메타 문자를 이스케이프하지 않는 OS 명령 실행 기능에 사용자가 제공한 정보를 사용합니다.
- OS 명령에 대한 인수로 사용자가 제공한 정보를 사용합니다.
응용 프로그램은 OS 명령에 전달할 하드코딩된 인수 집합이 있어야 합니다. 이러한 기능에 파일 이름이 전달되는 경우, 파일 이름의 해시를 대신 사용하거나 다른 고유한 식별자를 사용하는 것이 권장됩니다. 타사 명령에 대한 알 수 없는 공격의 위험으로 인해 OS 시스템 명령 대신 동일한 기능을 구현하는 네이티브 라이브러리를 사용하는 것이 강력히 권장됩니다.
상세 정보
| ID | 집계 | CWE | 유형 | 리스크 |
|---|---|---|---|---|
| 78.1 | false | 78 | Active | 높음 |
도움말