
[DVWA] Command Injection
命令注入(Command Injection)是通過在應用中執行宿主作業系統的命令,來達到破壞目的的一種攻擊方式。如果我們的應用程式將不安全的用戶輸入傳遞給了系統命令解析器(shell),那麼命令攻擊就有可能發生。 通常來說,由應用程式傳遞作業系統命令會賦有和應用一樣的權限,所以如果沒有合理防禦機制會給系統帶來很大危害。命令注入攻擊漏洞是PHP應用程式中常見的漏洞之一。 命令注入和代碼注入不同,代碼注入的目的在於將外部代碼注入應用程式本身,並隨程序執行;命令攻擊的對象是伺服器的宿主機。DVWA的相應模塊中,有如下功能:應用提供了一個用來ping對象主機的功能。正常情況下,輸入IP位址,返回命令 […]