Command Injection
개요
커맨드 인젝션은 공격자가 애플리케이션에서 실행되는 운영체제 명령어를 조작하여 임의의 시스템 명령을 실행하는 웹 보안 취약점입니다.
🚨 발생 원인과 작동 원리
리눅스 셸 프로그램의 메타 문자로 인해 기존 명령 외에 추가 명령이 실행될 수 있어 취약점이 발생합니다. 웹 애플리케이션이 검증되지 않은 사용자 입력을 OS 명령 인자로 사용할 때, 공격자가 추가 명령을 삽입해 실행시킬 수 있습니다.
🔒 예방 방법
입력값 검증
화이트리스트 방식으로 입력을 제한합니다.
OS 명령 피하기
시스템 명령 대신 내부 API를 사용합니다.
셸 호출 피하기
인자를 직접 전달하여 셸을 호출하지 않습니다.
권한 최소화
최소 권한으로 명령을 실행합니다。