什么是操作系统命令注入？

操作系统命令注入是一种严重的漏洞，使攻击者能够完全控制受影响的网站和底层Web服务器。

操作系统命令注入漏洞出现在应用程序将用户数据合并到操作系统命令中并执行时。攻击者可以操纵数据，使其自己的命令得以运行。这使得攻击者可以执行应用程序本身可以执行的所有操作，包括读取或修改其所有数据并执行特权操作。

除了完全攻陷Web服务器本身外，攻击者还可以利用命令注入漏洞，将攻击转向组织内部的内部基础设施，并可能访问Web服务器可以访问的任何系统。他们还能够在组织内部建立一个持久立足点，即使原始漏洞已被修复，也可以继续访问受感染的系统。

描述：操作系统命令注入

操作系统命令注入漏洞出现在应用程序将由shell命令解释器处理的用户可控数据合并到命令中时。如果用户数据没有严格验证，攻击者可以使用shell元字符修改要执行的命令，并向服务器注入任意进一步的命令。

操作系统命令注入漏洞通常非常严重，可能导致承载应用程序的服务器被攻陷，或应用程序自身的数据和功能被攻陷。此外，还可能将服务器用作攻击其他系统的平台。利用漏洞的确切潜力取决于执行该命令的安全上下文以及该上下文对服务器上敏感资源的权限。

补救措施：操作系统命令注入

如果可能，应用程序应该避免将用户可控数据合并到操作系统命令中。在几乎所有情况下，都有更安全的方法来执行服务器级别的任务，这些方法不能被操纵来执行比预期更多的命令。

如果将用户提供的数据合并到操作系统命令被认为是无法避免的，那么应该使用以下两个层次的防御来防止攻击：

• 用户数据应该被严格验证。理想情况下，应该使用白名单来接受特定的值。否则，只应接受短的字母数字字符串。应该拒绝接受包含任何其他数据（包括任何可想象的shell元字符或空格）的输入。

• 应用程序应该使用命令API，通过其名称和命令行参数启动特定的进程，而不是将命令字符串传递给支持命令链和重定向的shell解释器。例如，Java API Runtime.exec和ASP.NET API Process.Start不支持shell元字符。即使攻击者绕过了输入验证防御，这种防御也可以减轻攻击的影响。

原文始发于微信公众号（张无瑕思密达）：什么是操作系统命令注入？