安全测试全面总结-分类1-shell命令注入漏洞
再次系统的整理一下深入一下安全测试
利用的是shell的机制,使用一些特殊的符号,注入一些自己的命令,
看这个列子,通过echo;ls,查看到了当前文件夹下的文件,这种还可以使用其他的命令,获取到数据库的账号密码都是有可能的,
这就是漏洞,
所以如果你检查不够严格,就会被注入,
实际这种都是可以使用漏洞扫描工具扫描到的,不需要人工去一个一个的尝试,
但是这个原理你要知道,
技术改变命运
再次系统的整理一下深入一下安全测试
利用的是shell的机制,使用一些特殊的符号,注入一些自己的命令,
看这个列子,通过echo;ls,查看到了当前文件夹下的文件,这种还可以使用其他的命令,获取到数据库的账号密码都是有可能的,
这就是漏洞,
所以如果你检查不够严格,就会被注入,
实际这种都是可以使用漏洞扫描工具扫描到的,不需要人工去一个一个的尝试,
但是这个原理你要知道,
