[보안 해킹] 홈페이지 개발 보안 방안 - 운영체제 명령 실행
■ 취약점 설명
- 적절한 검증절차를 거치지 않은 사용자 입력 값이 운영체제 명령어의 일부 또는 전부로 구성되어 실행되는 경우, 의도하지 않은 시스템 명령어가 실행되는 취약점
■ 보안대책
⑴ 웹 인터페이스를 통해 서버내부로 시스템 명령어를 전달시키지 않도록 웹 어플리케이션 구성
⑵ 외부 입력에 따라 명령어를 생성하거나 선택이 필요한 경우, 명령어 생성에 필요한 값들을 미리 지정해 놓고 외부 입력에 따라 선택하여 사용
■ 코드 예제
- 다음의 예제는 cmd.exe 명령어를 사용하여 rmanDB.bat 배치 명령어를 수행하며, 외부에서 전달되는 dir_type 값이 manDB.bat 의 인자값으로서 명령어 스트링의 생성에 사용될 수 있는 코딩
- 다음의 예제와 같이 미리 정의된 인자 값의 배열을 만들어 놓고, 외부의 입력에 따라 적절한 인자 값을 선택하도록 하여, 외부의 부적절한 입력이 명령어로 사용될 가능성을 배제한 코딩인자 값을 선택하도록 하여, 외부의 부적절한 입력이 명령어로 사용될 가능성 배제한 코딩
※ 문의 사항은 메일 : jyuhm@sntkor.com 이나 070-8611-4853
'Security > Hacking & Security' 카테고리의 다른 글
| [보안 해킹] 홈페이지 개발 보안 방안 - XPath 인젝션 (0) | 2016.10.20 |
|---|---|
| [보안 해킹] 홈페이지 개발 보안 방안 - XQuery 인젝션 (0) | 2016.10.20 |
| [보안 해킹] 홈페이지 개발 보안 방안 - SQL 인젝션 (0) | 2016.10.18 |
| [보안 해킹] 홈페이지 보안 취약점 - 에러처리 취약점 (0) | 2016.10.18 |
| [보안 해킹] 홈페이지 보안 취약점 - 권한 인증 취약점(쿠키 변조) (0) | 2016.10.18 |