操作系统命令注入（时序攻击）

critical Web App Scanning 插件 ID 98124

语言：

简介

操作系统命令注入（时序攻击）

描述

为了从 Web 应用程序内执行特定操作，偶尔需要运行操作系统命令，并且让 Web 应用程序捕获这些命令的输出，然后将其返回给客户端。

当用户提供的输入未经适当审查即被插入其中一个命令中，然后由服务器执行时，就会发生操作系统命令注入。

网络罪犯可利用此漏洞在服务器上执行自己的任意命令，这可能包括从简单的“ping”命令到映射内部网络，再到取得对服务器的完全控制权在内的各种命令。

通过注入需要特定时长执行的操作系统代码，扫描程序能够检测到基于时间的操作系统命令注入行为，这表示程序未进行正确的输入审查。

解决方案

建议切勿使用不受信任的数据形成要由操作系统执行的命令。
为了验证数据，应用程序应确保提供的值仅包含执行必要操作所需的字符。
例如，在表单字段需要 IP 地址的情况下，应仅接受数字和句点。此外，所有控制运算符（`&`、`&&`、`|`、`||`、`$`、`\`、`#`）都应被服务器明确拒绝并且从不接受为有效输入。