检测

操作系统命令注入

critical Web App Scanning 插件 ID 98123

语言:

简介

操作系统命令注入

描述

当用户提供的输入用于构建由操作系统执行的命令时,会发生 OS 命令注入。

扫描程序能够注入特定的操作系统命令,并将该命令的输出包含在服务器响应中。这表示输入未经正确审查。

解决方案

建议切勿使用不受信任的数据形成要由操作系统执行的命令。
为了验证数据,应用程序应确保提供的值仅包含执行必要操作所需的字符。

另见

http://projects.webappsec.org/w/page/13246950/OS%20Commanding

https://cheatsheetseries.owasp.org/cheatsheets/OS_Command_Injection_Defense_Cheat_Sheet.html

插件详情

严重性: Critical

ID: 98123

类型: remote

发布时间: 2017/3/31

最近更新时间: 2025/4/17

扫描模板: api, full, pci, scan

风险信息

VPR

风险因素: Critical

分数: 9.0

CVSS v2

风险因素: Critical

基本分数: 10

矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS 分数来源: Tenable

CVSS v3

风险因素: Critical

基本分数: 9.8

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

CVSS 分数来源: Tenable

CVSS v4

风险因素: Critical

Base Score: 9.3

Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N

CVSS 分数来源: Tenable

参考资料信息